Протоколирование сетевых соединений

0

0

Здравствуйте. Сейчас пищу программку регистрации действий пользователя, задача одного из модулей - протоколирование сетевых соединений. Сразу скажу - лезть глубоко внутрь пакетов или записывать дамп трафика смысла нет. В принципе нужна следующая инфрмация: локальный адрес, локальный порт, удаленный адрес, удаленный порт, протокол, pid процесса, время установления соед-я, длительность соединения. Залезть в ядро можно, но хочется выкрутиться юзерспейсом. Скажите, можно ли это реализовать, напр, с помощью lib[nf]netfilter? Также буду благодарен за ссылки на любую полезную инфу.

Ссылка

←	Linux и макрос define

а как получить readline и дополнение в repl sbcl?

→

netstat --inet -p не пойдёт?

alex_custov ★★★★★
(10.01.10 20:36:12 MSK)

Ответ на: комментарий от alex_custov 10.01.10 20:36:12 MSK

В том то и дело, что сторонняя утилита не пойдет. Хотя... в исходниках netstat поковыряюсь.
Насчет нетфильтра. Гипотетически, неплохо было бы (если вообще реально), получать события установки-завершения соединения, и если они удовлетворяют условию (uid==наш_юзер) записывать.

NoOneInBOX
(10.01.10 20:45:34 MSK) автор топика

Правильно мыслишь. Копай в сторону libnetfilter_conntrack.
Неплохой пример ее использования — прога conntrack из набора conntrack-tools. В частности, в ней реализован механизм реакции на события (conntrack -E). Ставь обработчик на событие DELETE и будет тебе щастье :)

Единственный минус — придется поплясать с привязкой к пользователю. conntrack ее не делает (емнип).

nnz ★★★★
(10.01.10 20:48:33 MSK)

Ссылка

посмотри man iptables на предмет LOG/ULOG таргетов.

true_admin ★★★★★
(10.01.10 23:35:23 MSK)

Ответ на: комментарий от NoOneInBOX 10.01.10 20:45:34 MSK

Привязку conntrack к юзерам можно реализовать, например, так: вешаешь обработчки на события NEW и DESTROY. По событию NEW лезешь в базовую сетевую систему ядра и уточняешь, локальное ли это соединение и нужному ли юзеру оно принадлежит. Если все Ok — записываешь его в своей памяти. По событию DESTROY ищешь его в памяти и добавляешь туда полную статистику по переданным данным.

Имхо, это наименее кривой путь.

nnz ★★★★
(11.01.10 03:35:06 MSK)

Ответ на: комментарий от true_admin 10.01.10 23:35:23 MSK

>посмотри man iptables на предмет LOG/ULOG таргетов.

Если человек знает про libnetfiler, вряд ли он найдет в man iptables что-то новое для себя :)

nnz ★★★★
(11.01.10 03:36:43 MSK)

Ссылка

Ответ на: комментарий от nnz 11.01.10 03:35:06 MSK

Вдруг допер до еще одного варианта :)

Через iptables маркируешь все соединения нужно юзверя

iptables -t mangle -A OUTPUT -m owner --uid-owner vasya -j CONNMARK --set-mark 41

Ну а затем просто отфильтровываешь события по маркировке.

nnz ★★★★
(11.01.10 03:56:37 MSK)

Ссылка

Все это можно сделать с помошью патчей RSBAC. И даже больше.
Только замучаетесь настраивать, так как докоментации вменяемой нет :)

Cosmicman ★★
(11.01.10 15:17:30 MSK)

Ответ на: комментарий от Cosmicman 11.01.10 15:17:30 MSK

документации*

Cosmicman ★★
(11.01.10 15:18:09 MSK)

Ссылка

Огромное всем спасибо за советы!!!

NoOneInBOX
(13.01.10 00:50:43 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Linux и макрос define

Development

а как получить readline и дополнение в repl sbcl?

→

Похожие темы