user53029's questions

假设我的域是 example.com，我们有 SMTP 服务器的 SPF 记录example.com。现在假设我已经决定允许example.org以example.com.I 的身份发送邮件。我知道如何添加example.org到 SPF 但如果我还想使用 DomainKeys 或 DKIM 来验证 example.org，密钥是否需要在example.com 或example.org？例如，

我会使用：

_domainkey.example.com.                  IN TXT          "t=y\; o=~\;"
xxxxxxx._domainkey.example.com.           IN TXT          "k=rsa\;
p=xxxxxxxxxxx

或者

_domainkey.example.org.                  IN TXT          "t=y\; o=~\;"
xxxxxxx._domainkey.example.org.           IN TXT          "k=rsa\;
p=xxxxxxxxxxx

还，

1）谁生成密钥？example.com还是example.org？（我很确定 example.org 会制作密钥，然后向我们发送公共 DNS，但不确定）

2）我是否需要 SPF 和密钥，或者仅密钥就足以验证另一个域并允许它通过验证？（我处于只想使用键的位置）

3) 在提供者检查方面，哪一个更好用？例如，提供者是否像 SPF 一样检查密钥？

在我们的电子邮件网关上启用了 SPF 检查。有一个名为 SPF Check MIME FROM 的选项我不熟悉，如果选中（启用）该框，它将做什么。我研究了有关 MIME 扩展和 SPF 的信息，检查了测试电子邮件中的一些标头，但仍然无法找到任何具体的信息来告诉我此选项的作用。不幸的是，网关帮助页面掩盖了这一点。

在下面的示例电子邮件标头中，哪个“发件人”字段是 MIME 发件人字段，我为什么要检查/阻止它？与阻止 MIME 字段相关的风险是什么？启用此检查是否有可能阻止/退回合法电子邮件？

 Delivered-To: [email protected]
 Received: by x.x.x.x with SMTP id f76csp774237qgd;
    Sat, 27 Aug 2016 03:29:33 -0700 (PDT)
 X-Received: by 10.36.158.213 with SMTP id p204mr3542807itd.99.1472293773650;
    Sat, 27 Aug 2016 03:29:33 -0700 (PDT)
 Return-Path: <[email protected]>
 Received: from x.x.x.x [x.x.x.x])
    by mx.google.com with ESMTPS id t102si29690279ioi.28.2016.08.27.03.29.33
    for <[email protected]>
    (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
    Sat, 27 Aug 2016 03:29:33 -0700 (PDT)
 Received-SPF: pass (google.com: domain of [email protected] designates x.x.x.x  as permitted sender) client-ip=x.x.x.x;
 Authentication-Results: mx.google.com;
   spf=pass (google.com: domain of [email protected] designates x.x.x.x as  permitted sender) [email protected]
  X-IronPort-AV: E=Sophos;i="5.28,586,1464670800"; 
  d="scan'208,217";a="24231910"
  Received: from unknown (HELO yahoo.com) ([x.x.x.x])
  by x.x.x.x with ESMTP/TLS/AES256-SHA; 27 Aug 2016 05:29:34 -0500
  Received: from x.x.x.x (x.x.x.x) by x.x.x.x
  (x.x.x.x) with Microsoft SMTP Server (TLS) id 15.0.1156.6; Sat, 27 Aug
  2016 05:29:32 -0500
  Received: from x.x.x.x ([x.x.x.x.]) by
  x.x.x.x ([fe80::x.x.x.x]) with mapi id
  15.00.1156.000; Sat, 27 Aug 2016 05:29:32 -0500
  From: Yahoo user <[email protected]>
  To: "[email protected]" <[email protected]>
  Subject: test
  Thread-Topic: test
  Thread-Index: AQHSAE3msYk8ULUUokONiRFEEXwZWw==
  D ate: Sat, 27 Aug 2016 10:29:32 +0000
  Message-ID: <[email protected]>
  Accept-Language: en-US
  Content-Language: en-US
  X-MS-Has-Attach:
  X-MS-TNEF-Correlator:   
  x-ms-exchange-transport-fromentityheader: Hosted
  x-originating-ip: [x.x.x.x]
  Content-Type: multipart/alternative;
  boundary="_000_d6f3858cc3ec40f3aebf654ef7148695prodex02corpwan_"
  MIME-Version: 1.0

我们有一封我们认为受到反向散射攻击的用户电子邮件。我们找不到帐户被盗用的证据。用户还表示他们没有发送任何他们收到的电子邮件。在我们的系统中，当一封电子邮件被发送到用户邮箱时，日志将显示如下一行：

LOCAL(username) delivered: Delivered to the user mailbox

我发现有趣的是，根据他们所说的收到的退回邮件的数量，它与上面出现在日志中的行数不一致，这等于返回到的电子​​邮件数量收件箱。对此有什么想法吗？

我们有一个用于 DHCP 的 RHEL 6.7 服务器。当有人想要永久 IP 地址时，我需要澄清 dhcpd 如何处理网络寻址。这是来自我们其中一台服务器的示例配置。我的理解是有两种方法可以得到它们。DHCP 保留和真正的静态 IP 不在 DHCP 范围内。

subnet 192.168.100.0 netmask 255.255.255.0 {
  option domain-name "domain.net";
  option broadcast-address 192.168.100.255;
  option routers 192.168.100.1;

  # Define the scopes for this DHCP pool

  pool {
   range 192.168.100.2 192.168.100.200;
   # static reserve = 192.168.100.201 - 192.168.100.254
  }
  host static-custid {
   hardware ethernet 00:01:02:03:04:05;
   fixed-address 192.168.100.150;
  }
  host static-custid {
   hardware ethernet 00:01:02:03:04:05;
   fixed address 192.168.100.201;
  }
}

如您所见，我们在 DHCP 范围之外有一个静态保留区，在内部有一个。我的理解是 dhcpd 只知道声明池中的那个，因为客户端将使用 DHCP 协议。但是对于我的生活，我无法让任何人在这里向我解释为什么我们要为未在池中定义的 IP 声明静态保留。dhcpd 是否有可能知道池外的静态保留并在看到该 MAC 地址并且客户端正在使用 DHCP 时给它 192.168.100.201？我不认为是这种情况，因为池外的所有这些静态储备都不在 dhcpd.leases 文件中。

我在 RHEL 6 服务器上运行 OSSEC HIDS 软件版本 2.8.3。我们一直在实验室中使用 DNS 服务器对此进行测试，以跟踪进入我们的 RPZ 和恶意软件区域的查询。DNS 服务器已安装 OSSEC 代理。为了让它工作，我们必须使用一个定制的书面解码器。除了那些“开箱即用”安装的解码器之外，还有其他人对 OSSEC 和自定义解码器有任何经验吗？我主要是想获得关于其他系统管理员正在使用 OSSEC 做什么的创造性想法，这些想法在我们的生产环境中也可能有用。

例如，有没有人成功编写/使用自定义解码器来检测 Linux 的 USB 存储？

更新：我一直在研究自定义解码器和检测 USB 设备何时插入服务器的规则。这是我想要匹配的日志行：

Feb  3 10:23:08 testsys kernel: usb 1-1.2: New USB device found, idVendor=0781, idProduct=5575

我在 OSSCE 中的解码器规则：

<decoder name="usb-storage">
<program_name>kernel</program_name>
</decoder>

<decoder name="usb-storage-attached">
<parent>usb-storage</parent>
<regex offset="after_parent">^USB \S+: New</regex>
<order>extra_data</order>
</decoder>

我在 OSSEC 的规则：

<group name="syslog,">
<!-- USB Storage Detection Log Types -->
<!-- level=0 for not generating alerts by default -->
<rule id="310201" level="0">
<decoded_as>usb-storage</decoded_as>
<description>Looking for unknown USB attached storage</description>
</rule>

<!-- USB Storage Detection Event Chains -->
<!-- Fire an alert (level=8) if the log line contains "New USB   device found" -->
<rule id="310202" level="8">
<if_sid>310201</if_sid>
<match>^New USB device found</match>
<description>Attached USB Storage</description>
</rule>
</group>

我正在我们的实验室 DNS 服务器上测试 BIND 响应策略区域功能。我们使用 BIND 9.8.2 运行 RHEL 6 服务器。我已按照此处的说明进行操作，但无法正常工作。这是我所知道的：

1) DNS 服务器确实响应对在其他区域中找到的主机的查询

2) 我的 RPZ 区域加载成功，如下所示：

Jan 28 12:00:13 labdns named[26564]: zone rpz/IN: loaded serial 2015012816

但是当我查询在 RPZ 区域中找到的域时，这是我在 /var/log/messages 中看到的内容：

Jan 28 11:52:54 labdns named[26060]: client 192.168.254.202#38524: query (cache) 'x99moyu.net/A/IN' denied

我以前见过这种行为，但只有当您关闭递归并且查询在区域文件中找不到的主机时。这是我的 RPZ 区域数据库文件：

$TTL 86400
@       IN SOA   localhost. root.localhost. (

                            2015012816      ; serial
                                    3600    ; refresh
                                    1800    ; retry
                                    604800  ; expire
                                    86400   ; minimum
)

@                               IN      NS        lab.testdns.net.

; Response Policy for x99moyu.net
x99moyu.net                 IN      A       127.0.0.1
                            IN      AAAA    ::1
; Response Policy for ix99moyu.net
ix99moyu.net                IN      A       127.0.0.1
                            IN      AAAA    ::1
; Response Policy for duobao369.com
duobao369.com               IN      A       127.0.0.1
                            IN      AAAA    ::1

我试过在域名的前后都加点，但这没有帮助，说明说无论如何不要使用点。

这是我的 /etc/named.conf 文件：

//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND    named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver   only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration     files.
//

options {
    listen-on port 53 { 192.168.155.128; }; #Master DNS Servers IP
    listen-on-v6 port 53 { ::1; };
    directory       "/var/named";
    dump-file       "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named.stats";
    memstatistics-file "/var/named/data/named_mem_stats.txt";
    allow-query     { localhost; 192.168.155.0/24; 192.168.254.0/23;    192.168.160.0/24; }; # IP range of hosts
    allow-transfer  { localhost; 192.168.254.202; }; # Slave DNS     server
    recursion no;

    dnssec-enable yes;
    dnssec-validation yes;
    dnssec-lookaside auto;
    zone-statistics yes;

    /* Path to ISC DLV key */
    bindkeys-file "/etc/named.iscdlv.key";

    managed-keys-directory "/var/named/dynamic";

    response-policy { zone "rpz"; };
};

logging {
    channel default_debug {
            file "data/named.run";
            severity dynamic;
    };
    channel rpz-queries {
    file "/var/log/bind/rpz.log" versions 10 size 50m;
    severity info;
};
    category rpz {
    rpz-queries;
    };
};

zone"rpz" IN {
type master;
file "/var/named/db.rpz";
notify yes;
allow-update { none; };
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

我不确定如何继续前进或如何进一步调试。任何帮助表示赞赏。

编辑 - 这是 dig 命令的输出。这是我看到“拒绝”消息的地方

dig @192.168.155.128 x99moyu.net

; <<>> DiG 9.10.3-P2-RedHat-9.10.3-7.P2.fc22 <<>> @192.168.155.128   x99moyu.net
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 51880
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;x99moyu.net.           IN  A

;; Query time: 1 msec
;; SERVER: 192.168.155.128#53(192.168.155.128)
;; WHEN: Thu Jan 28 12:30:08 CST 2016
;; MSG SIZE  rcvd: 40

以下两种 IPv6 PTR 格式有什么区别？

4.3.0.0.0.0.0.0.0.0.0.0.0.0.0.0         IN      PTR     smtp.example.com.

4.3.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.3.0.0.0.0.a.4.f.7.0.6.2.ip6.arpa.    IN    PTR    smtp.example.com.

如果我有一个有效的 IPv6 地址并挖掘 PTR，那么我在反向区域文件中列出记录的方式似乎并不重要。它适用于任何一个。我希望它可以使用半字节格式（底部示例），但我不希望它可以使用顶部示例中的较短版本。

第一个示例是什么，如何将半字节格式转换为较短的版本？我到处搜索，但似乎无法弄清楚这种较短的格式或使它起作用的原因。

我有一个在 RHEL 6.6 上运行的 DHCP 服务器。我了解从协议的角度来看对话如何建立租约的过程（有点）。1 - DHCPDISCOVER 消息。2- DHCPOFFER，3- DHCPREQUEST，和 4- DHCPACK。但是，当您在日志中看到以下活动时，这意味着什么？请注意在初始 DHCPOFFER 发生很久之后 IP 上的活动是如何持续的。这里发生了什么？这只是客户端更新/请求相同的 IP，因此不需要进行 DHCPDISCOVER 或 DHCPOFFER 吗？

Dec  7 00:02:17 test dhcpd: DHCPACK on 123.123.123.123 to 00:0f:94:50:f5:60 via em0
Dec  8 00:02:27 test dhcpd: DHCPREQUEST for 123.123.123.123 from 00:0f:94:50:f5:60 via em0
Dec  8 00:02:27 test dhcpd: DHCPACK on 123.123.123.123 to 00:0f:94:50:f5:60 via em0
Dec  9 00:02:35 test dhcpd: DHCPREQUEST for 123.123.123.123 from 00:0f:94:50:f5:60 via em0
Dec  9 00:02:35 test dhcpd: DHCPACK on 123.123.123.123 to 00:0f:94:50:f5:60 via em0
Dec 10 00:02:41 test dhcpd: DHCPREQUEST for 123.123.123.123 from 00:0f:94:50:f5:60 via em0
Dec 10 00:02:41 test dhcpd: DHCPACK on 123.123.123.123 to 00:0f:94:50:f5:60 via em0

使用 --dport 参数可以在单个规则中指定多少个端口？前任 -

iptables -A INPUT -p tcp --dport {0,5,10,15,20,25, etc,,??} -j ACCEPT

希望有人可以为我解决这个问题。我在 RHEL7.1 上，我注意到在 iptables 中我有一个允许任何传入的规则。我运行这个命令来获取行号和接口只是为了确保：

iptables --line-numbers -L -v --verbose

这就是输出。（仅限第一行）

1      30M 2931M ACCEPT     all  --  any    any     anywhere             anywhere             state RELATED,ESTABLISHED

这是来自输入链。现在这是输入链的最后一行：

42    243K   22M DROP       all  --  any    any     anywhere             anywhere

现在，我在两者之间的输入链中也有许多规则。但我不明白为什么我什至需要在最顶部使用“任何任何”规则的这些。这不会破坏 iptables 运行的目的吗？我这里的防火墙配置错误吗？

我每天都使用日志文件。我一直在使用 sed 来完成我在时间戳之间提取某些数据行的目标。例如，我使用：

sed '/20150720 15:06:00/,/20150720 16:25:00/! d' logfile.log > /tmp/logpart.log

但是，这仅在时间戳实际匹配文件中的一行时才有效。如何强制 sed 处理我想要的数据，而不必进入文件来获取实际时间戳？例如，在上面的示例中，我只想要 15:00 到 16:30 之间的所有内容，而不管文件中是否有匹配的时间戳。

当我 ssh 到我的 Linux 服务器并像这样使用 grep 时：

grep '超时时间' 日志文件 | 较少的

自动换行不起作用。

但是，如果我使用相同的命令但先使用 less，如下所示：

更少的日志文件 | grep '超时时间'

行换行。我不确定问题是什么，或者这是否正常。但无论我使用什么 ssh 客户端，它都会发生。我已经尝试过 putty 和 Ubuntu 客户端。我怎样才能解决这个问题？

我正在跟踪文件输出并查找具有某些数据的行。我不想将数据输出到屏幕，而是计算它找到的实例数并将其发送到屏幕。实例的数量可以滚动和增加，或者它可以覆盖现有的并且仅在它增加时显示它。那部分并不是很重要，我只需要找到一个运行中的实例数。

我现在的命令是

尾 -f 日志文件 | grep '我想要的数据'

我曾尝试使用 grep -c 和 wc -l 但没有给我想要的结果。这个特定的 Linux 发行版没有 pv 并且无法获得它。有没有办法我可以做到这一点？

我在 tshark 中使用这个命令：

tshark -r pcapfile "tcp and ip.src==192.168.1.1" -T text -V -x | grep 'Total Length'

这实际上只解析来自源 ip 的连接的 pcap，并从每个数据包中查找总长度（以字节为单位）。我得到这样的输出：

Total Length: 125 
Total Length: 210 
Total Length: 40 
Total Length: 125
> etc, etc....

我需要做的是从 Total Length 中获取数字并将它们相加，这样我就可以了解在 pcap 的时间范围内从单个 IP 传输了多少数据。

我可以在我用来执行此操作的命令的末尾添加一个命令吗？或者有没有一种方法可以直接指向标准输出，然后将其传递给一个可以解析和计算我所追求的程序？任何人都知道可以执行此操作的 tcpdump 类似命令吗？