Paket filtre günlüğü [şu anda root olarak arka planda tcpdump ile]


0

OS X Mavericks kullanıyorum ve "paket filtresi" güvenlik duvarını kullanıyorum. Ancak, "pflogd" mevcut değil gibi görünüyor.

Pflog0 adında bir arayüz oluşturabileceğinizi ve ardından pf'nin düştüğü paketleri görmek için tcpdump kullanabileceğinizi öğrendim. Ancak, bir günlük dosyasına sahip olmak istiyorum.

Benim çözümüm bir fırlatma işlemi yapmak ve bu arayüzü önyüklemede oluşturmak, tcpdump (root olarak) başlatmak ve her şeyi /var/pf.log; mükemmel çalışıyor.

Ancak, tcpdump'ın bütün gün arka planda root modunda çalışmasını sağlamak konusunda biraz endişeliyim, değil mi?

teşekkür ederim

Yanıtlar:


0

OS X Mavericks'i tanımıyorum ama OS X Mountain'da test ettim (açılışta değil):

Dosya düzenle /etc/sudoers

Şifre sormamak için aşağıdakini ekleyin:

youruser ALL=(ALL) NOPASSWD: /usr/sbin/tcpdump

Tcpdump'ı arka planda başlatın ve dosyayı yakalamak için günlüğe kaydedin (buradaki ana nokta &, komutun arka planda çalışmasını sağlayan şeydir):

sudo tcpdump -i pflog0 -s 0 -B 524288 -w ~/Desktop/myfile.pcap &

Tcpdump işlemini durdurmak için, işlem kimliğini alarak onu kaldırın:

ps -ef
sudo kill pid

Yakalama dosyasını açmak için:

tcpdump -s 0 -n -e -x -vvv -r ~/Desktop/myfile.pcap

0

Bir arabirim dinlerken tcpdump'un sudo gerektirmediğini öğrendim (özel seçenek yok), sandım ki ...

Yine de sadece / Library / LaunchDaemons içindeki bir betiği olan arayüzü oluşturabilir ve tcpdump'ı ~ / Library / LaunchAgents içindeki başka bir betiği ile başlatabilir ve günlüğe kaydetmeyi etkinleştirebilirim. Her şey iyi çalışıyor :)

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.