大佬教程收集整理的这篇文章主要介绍了linux – 为什么混杂模式会自动设置 – 我应该担心吗?,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
我注意到2013-11-08配置的变化,当rkhunter警告我们“可能的混杂接口”之前没有发生过.经过一段谷歌搜索后,我没有在我们的服务器上找到混杂模式的任何真实用例,所以我使用#ifconfig eth0 -promisc禁用它只是为了找出一天后标志已被重置.
这是内核日志所说的:
Nov 8 14:51:31 hallinta kernel: [3301285.098047] klogd1 uses obsolete (PF_INET,SOCK_PACKET) Nov 8 14:51:31 hallinta kernel: [3301285.099528] device eth0 entered promiscuous mode Nov 11 08:34:18 hallinta kernel: [3537242.374911] device eth0 left promiscuous mode Nov 12 07:46:30 hallinta kernel: [3620559.485388] device eth0 entered promiscuous mode Nov 13 08:47:36 hallinta kernel: [3710393.877512] device eth0 left promiscuous mode Nov 14 07:53:49 hallinta kernel: [3793353.202243] device eth0 entered promiscuous mode Nov 14 09:16:03 hallinta kernel: [3798274.154435] device eth0 left promiscuous mode
由于其即时时间戳,我包含了klogd1消息.从auth日志中我没有看到第一个“输入混杂模式”消息周围的任何可疑活动.
由于两个进入的时间戳大致相似,我检查了我是否有任何cronjobs在那个时候运行.大多数日常工作(我用this tool搜索)是在最晚的06:25运行,下一个工作是在08:00运行.那些06:25的工作都没有包含ifconfig或promisc这两个词.
什么可以在eth0接口上设置混杂模式ON,我应该担心吗? (我,但我应该是吗?)是否应该设置任何合法的原因混杂模式?
我怀疑在rkhunter运行时必须启用混杂模式才能让rkhunter检测到它.
非常奇怪的是,这是:
Nov 8 14:51:31 hallinta kernel: [3301285.098047] klogd1 uses obsolete (PF_INET,SOCK_PACKET) Nov 8 14:51:31 hallinta kernel: [3301285.099528] device eth0 entered promiscuous mode
AFAIK没有klogd1这样的东西(当然有一个klogd),而且不应该有一个.花些时间检查该名称下是否存在二进制文件以及是否存在klogd1进程(如果是,请查找它正在执行的操作).如果vnstat没有这样做,那么您的机器很可能已被泄露.
以上是大佬教程为你收集整理的linux – 为什么混杂模式会自动设置 – 我应该担心吗?全部内容,希望文章能够帮你解决linux – 为什么混杂模式会自动设置 – 我应该担心吗?所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。