主页 / user-218320

hotkarl's questions

Martin Hope
hotkarl
Asked: 2017-04-18 12:05:24 +0800 CST
  • 1

我已经让 ossec 与默认 UDP:1514 的多个客户端/代理一起正常工作。但是,在将 tcp 添加到服务器的 ossec.conf 文件、删除并重新添加代理以及在所有计算机上重新启动 ossec 之后,代理日志显示他们无法联系服务器,可能是因为他们试图通过 UDP 这样做.

虽然ossec.conf的服务器文档显示了您可以指定 TCP 或 UDP 的协议选项,但 ossec.conf 的代理文档中没有这样的内容,所以我的问题是如何配置代理以也使用 TCP?

ossec
Martin Hope
hotkarl
Asked: 2017-03-01 08:06:46 +0800 CST
  • 0

使用 ACL 授予非 root 用户对 root 拥有的目录的访问权限 -

作为根——

mkdir /testdir
chmod 0400 /testdir
setfacl -dm u:mike:rwx /testdir
getfacl /testdir
 # file: testdir
 # owner: root
 # group: root
 user::r--
 group::---
 other::---
 default:user::r--
 default:user:mike:rwx
 default:group::---
 default:mask::rwx
 default:other::---

作为迈克-

ls -la /testdir
ls: cannot open directory '/testdir': Permission denied

selinux 已启用。我在审计日志中查找了拒绝,但没有找到,尽管我无法想象 selinux 不是拒绝的原因。我只是想让这个文件夹远离所有人,除了一个用户迈克,那么我该如何调试呢?

centos bash access-control-list
Martin Hope
hotkarl
Asked: 2016-10-08 10:34:50 +0800 CST
  • 2

在运行调用 paramiko 的 python 库时,我注意到我的 iptables 日志中有一些被阻止的数据包。当我试图弄清楚为什么 iptables 运行时这个库的网络性能不一致时,我注意到了被阻止的数据包。基本上,服务器(以下日志中的 10.0.12.206)运行库,该库使用 paramiko 通过端口 22 在客户端(以下日志中的 10.0.10.103)上安全地执行命令。当客户端运行许可 iptables 时,它运行良好出色地。当客户端使用以下规则运行 iptables 时,通常会出现无限期挂起,我怀疑这可能是由于客户端上运行的 iptables 阻止了某些数据包,因为这些数据包仅在库运行时出现在日志中。

这些是我的 iptables 规则-

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP

-A INPUT -i lo -j -ACCEPT
-A OUTPUT -o lo -j -ACCEPT

-A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

-A OUTPUT -o eth0 -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT

-A INPUT -m state --state ESTABLISHED,RELATED -j -ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j -ACCEPT

-A INPUT -j LOG --log-prefix "IPtables DROP DEFAULT IN: " 
-A OUTPUT -j LOG --log-prefix "IPtables DROP DEFAULT OUT: " 

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP

这些是客户端日志中的常见消息-

Oct  7 16:43:08 ip-10-0-10-103 kernel: IPtables DROP DEFAULT IN: IN=eth0 OUT= MAC=<withheld> SRC=10.0.12.206 DST=10.0.10.103 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=18436 DF PROTO=TCP SPT=58634 DPT=22 WINDOW=523 RES=0x00 ACK FIN URGP=0

Oct  7 16:44:14 ip-10-0-10-103 kernel: IPtables DROP DEFAULT OUT: IN= OUT=eth0 SRC=10.0.10.103 DST=10.0.12.206 LEN=260 TOS=0x00 PREC=0x00 TTL=64 ID=57627 DF PROTO=TCP SPT=22 DPT=58634 WINDOW=240 RES=0x00 ACK PSH URGP=0

我想看看这些被阻止的数据包是否引起了麻烦。如何允许这些被阻止的数据包通过?我尝试了一些规则,但没有运气,例如-

-A OUTPUT -o eth0 -p tcp --tcp-flags ALL ACK,PSH,URG -j ACCEPT
iptables