---

Hej gruppe

Pakken jail, som indeholder icmplog og tcplog, er blevet fjernet fra
de seneste versioner af Debian og Ubuntu bl.a. med begrundelsen at der
er bedre alternativer [¹]:

> Amaya asked me to request the removal of jail, as she is too busy
> and because there are better alternatives in the archive (dsniff,
> ethereal, ...)

Så vidt jeg kan se, laver dsniff noget helt andet, og ethereal er vist
heller ikke lige det jeg søger.

Programmet tcplog logger til syslog i formatet

   tcplog: smtp request from example.com

og icmplog har et tilsvarende format til ICMP-pakker.

Er der nogen her der kender et program der kan logge IP-adresse og
hostnavn på indkommende ICMP- og TCP-pakker til syslog? Hverken mere
eller mindre. Hvis programmet kan klare både IPv4 og IPv6 er det et
stort plus.

På forhånd tak.

Mvh
Klaus

PS: Jeg har allerede lavet en jail-pakke til min nuværende Ubuntu,
men det kunne være rart at høre om nogen kendte de der "bedre
alternativer".

[¹] http://bugs.debian.org/448725
--
Klaus Alexander Seistrup
http://klaus.seistrup.dk/

---

On Fri, 2008-05-02 at 14:03 +0000, Klaus Alexander Seistrup wrote:
> SÃ¥ vidt jeg kan se, laver dsniff noget helt andet, og ethereal er vist
> heller ikke lige det jeg søger.

ethereal er en sniffer ... den har også en tekst consol baseret version.

> Er der nogen her der kender et program der kan logge IP-adresse og
> hostnavn på indkommende ICMP- og TCP-pakker til syslog? Hverken mere
> eller mindre. Hvis programmet kan klare både IPv4 og IPv6 er det et
> stort plus.

logger tager stdin og sender til syslog.

tcpdumps resultat skal således pipes til logger der sender det til
syslog:

sudo tcpdump -nti eth0 -q "icmp or (tcp[tcpflags] & tcp-syn != 0 and
tcp[tcpflags] & tcp-ack == 0)" | logger

Jeg gætter dog på du får mere information end du ønsker,
cut/awk/perl/... kan evt. bruges til at fjerne overflødigt information..

---

On Fri, 02 May 2008 16:20:03 +0200, Christian wrote:

> logger tager stdin og sender til syslog.

> tcpdumps resultat skal således pipes til logger der sender det til
> syslog:

> sudo tcpdump -nti eth0 -q "icmp or (tcp[tcpflags] & tcp-syn != 0 and
> tcp[tcpflags] & tcp-ack == 0)" | logger

> Jeg gætter dog på du får mere information end du ønsker,
> cut/awk/perl/... kan evt. bruges til at fjerne overflødigt information.

Dit svar på spørgsmålet Hvilke er de eksisterende og bedre alternativer
til jail-pakken er altså: Reimplementér jail-pakkens funktionalitet?

Øh.


Mvh.

Adam

--
"I'm a driver, I'm a winner, things are gonna change, Adam Sjøgren
I can feel it." asjo@koldfront.dk

---

Christian E. Lysel skrev:

> logger tager stdin og sender til syslog.
>
> tcpdumps resultat skal således pipes til logger der sender det
> til syslog:
>
> sudo tcpdump -nti eth0 -q "icmp or (tcp[tcpflags] & tcp-syn != 0
> and tcp[tcpflags] & tcp-ack == 0)" | logger

Tak for forslaget, men så kan jeg lissågodt køre med en hjemmestrikket
udgave af jail.

Mvh,

--
Klaus Alexander Seistrup
http://klaus.seistrup.dk/

---

On Fri, 2008-05-02 at 16:26 +0200, Adam Sjøgren wrote:
> Dit svar på spørgsmålet Hvilke er de eksisterende og bedre alternativer
> til jail-pakken er altså: Reimplementér jail-pakkens funktionalitet?

Jeg antog en jail-pakke er en chroot-jail pakke.

Var det en forkert antagelse?

---

On Fri, 02 May 2008 22:56:47 +0200, Christian wrote:

> On Fri, 2008-05-02 at 16:26 +0200, Adam Sjøgren wrote:

>> Dit svar på spørgsmålet Hvilke er de eksisterende og bedre alternativer
>> til jail-pakken er altså: Reimplementér jail-pakkens funktionalitet?

> Jeg antog en jail-pakke er en chroot-jail pakke.

> Var det en forkert antagelse?

Ja - se subject.

Eller læs mere her:

<http://packages.debian.org/etch/jail>


Mvh.

Adam

--
"I'm a driver, I'm a winner, things are gonna change, Adam Sjøgren
I can feel it." asjo@koldfront.dk