:strip_icc():strip_exif()/u/3878/usericon1.jpg?f=community)
Ik wil op een linux machine al het verkeer nauwkeuriger gaan monitoren.
Dus inkomend en uitgaand TCP en UDP verkeer loggen per proces en/of per user.
Dit verkeer monitoren en loggen heb ik opgesplitst in de volgende onderdelen:
Uitgaand verkeer
Dmv. iptables OUTPUT chain met uid-owner matching. Werkt prima.
Inkomend verkeer, services
Dmv. iptables INPUT chain, de listening ports ingevoerd. Werkt ook acceptabel.
Inkomend verkeer, user generated
Dit is het onderdeel wat mij hoofdpijn oplevert. Een shell user die lekker aan het wgetten, ftp'en, torrenten is (dus connecties aangaat met random-picked lokale poorten) is erg lastig om precies te monitoren.
Iptables heeft geen informatie op INPUT mbt. de user/pid info. Ik zou verder alleen netstat weten die per connectie weet welke user (en proces) de lokale eigenaar is.
* Heeft iemand een idee wat de beste manier is om dit verkeer te monitoren?
* Zijn en andere manieren dan aan deze data komen naast netstat?
* Zo niet, wat zou de beste manier zijn om deze data te gebruiken? Elke paar seconden netstat gegevens uitlezen en combineren is niet echt efficient.
(Disclaimer: Ik heb gezocht naar bestaande oplossingen, maar geen enkele acceptabele of werkende methode gevonden.)
Dus inkomend en uitgaand TCP en UDP verkeer loggen per proces en/of per user.
Dit verkeer monitoren en loggen heb ik opgesplitst in de volgende onderdelen:
Uitgaand verkeer
Dmv. iptables OUTPUT chain met uid-owner matching. Werkt prima.
Inkomend verkeer, services
Dmv. iptables INPUT chain, de listening ports ingevoerd. Werkt ook acceptabel.
Inkomend verkeer, user generated
Dit is het onderdeel wat mij hoofdpijn oplevert. Een shell user die lekker aan het wgetten, ftp'en, torrenten is (dus connecties aangaat met random-picked lokale poorten) is erg lastig om precies te monitoren.
Iptables heeft geen informatie op INPUT mbt. de user/pid info. Ik zou verder alleen netstat weten die per connectie weet welke user (en proces) de lokale eigenaar is.
* Heeft iemand een idee wat de beste manier is om dit verkeer te monitoren?
* Zijn en andere manieren dan aan deze data komen naast netstat?
* Zo niet, wat zou de beste manier zijn om deze data te gebruiken? Elke paar seconden netstat gegevens uitlezen en combineren is niet echt efficient.
(Disclaimer: Ik heb gezocht naar bestaande oplossingen, maar geen enkele acceptabele of werkende methode gevonden.)
:strip_icc():strip_exif()/u/51766/gentoo-red-70x70.jpg?f=community)
/u/100867/crop5601ca928ac47_cropped.png?f=community)
:strip_exif()/u/243981/luckyy_oranje.gif?f=community)
.