是什么决定了接口的混杂性、接口标志或属性？

正如在/中引入只读参数的补丁中所解释的：promiscuityip-linkiproute2

该标志IFF_PROMISC仅在用户明确设置时由内核导出，例如在运行时不会导出tcpdump）。

+ if (do_link && tb[IFLA_PROMISCUITY] && show_details)
+     fprintf(fp, "\n    promiscuity %u ",
+         *(int*)RTA_DATA(tb[IFLA_PROMISCUITY]));

事实上，接口（由 使用）和 rtnetlink 接口（由使用）使用的dev_get_flags()内核函数将从导出到用户空间的一组标志中显式清除：ioctl(SIOCGIFFLAGS)ifconfigip link showIFF_PROMISC

 *      Get the combination of flag bits exported through APIs to userspace.
 */
unsigned int dev_get_flags(const struct net_device *dev)
{
        unsigned int flags;

        flags = (dev->flags & ~(IFF_PROMISC |
                                        ...)) |
                (dev->gflags & (IFF_PROMISC |
                                IFF_ALLMULTI));

[dev->gflags以上是一组不被内核使用，而仅由用户空间接口设置和检索的兼容性标志]

从用户空间检查接口是否处于混杂模式的唯一ip -d link show方法是（就像这样做一样）通过 接口IFLA_PROMISCUITY检索的属性rtnetlink(7)。这反映了设备的实际混杂计数：promiscuity > 0意味着设备处于混杂模式。

ifconfig DEV promisc通过or更新设备标志ip link set dev DEV promisc on不是将设备设置为混杂模式的唯一方法：另一种方法是通过接口：packet(7) setsockopt()

setsockopt(sock, SOL_SOCKET, PACKET_ADD_MEMBERSHIP, {.mr_type = PACKET_MR_PROMISC})`

这就是tcpdump（以及其他网络捕获和过滤工具）正在使用的东西。

PROMISCUOUS它本身就是一面旗帜，而不是其他旗帜的组合。

您提供的转储上未设置该标志。

如果我在我的系统上手动设置它，我可以清楚地看到它：

~# ifconfig eth0 promisc
~# ip link show dev eth0
2: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
    link/ether 28:f1:0e:09:b8:f8 brd ff:ff:ff:ff:ff:ff
root@NEO-L196:~# ip -o -d link show dev eth0
2: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000\    link/ether 28:f1:0e:09:b8:f8 brd ff:ff:ff:ff:ff:ff promiscuity 1 addrgenmode eui64 numtxqueues 1 numrxqueues 1 gso_max_size 65536 gso_max_segs 65535 
~# 

如果您继续收到来自 Lynis 的警告，则有两种可能性：

• Lynis 有问题，向您报告了误报。

• 您的系统已被黑客入侵并安装了后门：黑客用隐藏混杂标志的修补程序替换了ip,ifconfig和二进制文件。route