Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst OUTPUT Traffic Linux Server baut Verbindung DNS-NTP-Webserver auf

Mitglied: decehakan

decehakan (Level 1) - Jetzt verbinden

10.01.2020, aktualisiert 10:55 Uhr, 491 Aufrufe, 13 Kommentare

Hallo Zusammen,
ich betreibe seit grad mal einen Halbjahr ein Linux-Server, lese viel und versuch auch vieles zu verstehen, zum meines Wissenstand würde ich mich nicht gefestigt sehen.
Auf meinem dedicated Linux headless UBUNTU LTS 18.04 habe ich, die ein und ausgehende Verbindung gut abgesichert. Nur die ausgehende logs jagen mir zum Teil Angst ein .

Für die ausgehende Verbindung habe ich nur HTTP/HTTPS,NTP und DNS erlaubt, für Update/Upgrade/Package des Servers. Mit der Firewall iptables sehe ich ausgehende logs, wo mein Server unteranderem Verbindung zur Cloudfare(Amerika) oder anderen Unbekannten Servern aufbaut, ist das Verhalten bei Server normal, dass der Server sich regelmäßig zum DNS Server/NTP Server/Webserver aufbaut ? Das macht mir leider ein bisschen paranoid.

hier ein log von vielen.
Über netstat wollte ich herausfinden, welche PID(Prozess) den sourceport:36764 steuert, hab nicht dazu gefunden außer listener/open port.

Gibt es ein Weg ( für ubuntu headless server), wie ich herausfinden , welcher Prozess den Sourceport 36764 gesteuert hat ?
Über Ratschläge und Empfehlung würde ich mich riesig freuen.

Viele Grüße

decehakan
Mitglied: Henere
10.01.2020 um 02:52 Uhr
Servus.
Schmeiss TCPDUMP an und schaue was passiert.
Regelmäßig schaut er nach Updates zB.

Henere
Bitte warten ..
Mitglied: decehakan
12.01.2020, aktualisiert um 15:42 Uhr
Mit netstat/lsof werde ich nicht schlauer, da diese nur listening/open ports/ aufgebaute Verbindung mit der zugehörige PID anzeigen.
Und mit tcpdump kann ich zwar Verbindungen aufzeichnen, aber er zeigt mir nicht die zugehörige PID. Irgendwie fehlt bei den Programm immer etwas.

Also die Sourceport vom Server, die kurzfristig ein dynamischen Port öffnen (portrange 30.000 - 65.000) mit der zugehörige PID kann ich leider mit netstat, lsof oder tcpdump abfangen. Das Problem ist eigentlich, dass die dynamischen Port regelmäßig ändern, wenn Sie ausgehende Verbindung zu einem HTTPS/DNS/NTP aufbauen wollen.

Was kann ich noch machen, oder ist es überhaupt möglich dynamische Port aufzuzeichnen auf Linux.
Bitte warten ..
Mitglied: 142232
12.01.2020, aktualisiert um 16:16 Uhr
Mit netstat/lsof werde ich nicht schlauer, da diese nur listening/open ports/ aufgebaute Verbindung mit der zugehörige PID anzeigen.
Blödsinn!! Mal wieder erst mal in ein Forum blöken anstatt erst mal genau hin zu schauen. Mein lsof Befehl zeigt dir alle aufgebauten Verbindungen sogar auch die die einen anderen TCP State haben als "established" haben , an nicht nur die lauschenden Sockets , und der dazugehörige Prozess ist ebenfalls aufgeführt! Du musst also genauer hinschauen bevor du hier sowas als Neuling in Sachen Linux behauptest.

Beispiel hier , ganz unten eine aufgebaute aktive SSH Session (nix nur listening!)

screenshot_20200112-160623__01 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: decehakan
12.01.2020 um 16:25 Uhr
Zitat von 142232:

Mit netstat/lsof werde ich nicht schlauer, da diese nur listening/open ports/ aufgebaute Verbindung mit der zugehörige PID anzeigen.
Blödsinn!! Mal wieder erst mal in ein Forum blöken anstatt erst mal genau hin zu schauen. Mein lsof Befehl zeigt dir alle aufgebauten Verbindungen sogar auch die die einen anderen TCP State haben als "established" haben , an nicht nur die lauschenden Sockets , und der dazugehörige Prozess ist ebenfalls aufgeführt! Du musst also genauer hinschauen bevor du hier sowas als Neuling in Sachen Linux behauptest.

Beispiel hier , ganz unten eine aufgebaute aktive SSH Session (nix nur listening!)

du solltest am besten nochmal mein Text durchlesen, und erstmal das Problem verstehen.

Nochmals für dich, lese bitte nochmal einmal meine Antwort und ruhig bitte.

Ich rede hier vom Serverports die kurzfristig eine Verbindung aufbauen und nach updates etc abfragen und genau diese dynamische Ports, sobald Sie ihre Zwecke erfüllen, schließen diese Ports. Anscheinend hast du viel weniger Kenntniss und Erfahrung in Linux als ich .
Bitte warten ..
Mitglied: 142232
12.01.2020, aktualisiert um 16:42 Uhr
Zitat von decehakan:
du solltest am besten nochmal mein Text durchlesen, und erstmal das Problem verstehen.
Habe ich!
Nochmals für dich, lese bitte nochmal einmal meine Antwort und ruhig bitte.
Alles ganz klar und einfach, du willst es anscheinend nicht verstehen.
Ich rede hier vom Serverports die kurzfristig eine Verbindung aufbauen und nach updates etc abfragen und genau diese dynamische Ports, sobald Sie ihre Zwecke erfüllen, schließen diese Ports.

Und genau das zeigt dir das oben auch an, siehst du oben ja. Das ist die Ausgabe eines Servers der selbst eine SSH Session aufgebaut hat. Das SRC Ports dynamisch sind ist bekannt macht hier aber keinerlei Unterschied!
Wenn der Server eine Verbindung aufbaut wird diese auch dort mit lsof gelistet, mehr braucht man also nicht.

Anscheinend hast du viel weniger Kenntniss und Erfahrung in Linux als ich .
Ja klar, Trolle wie dich mögen wir hier ganz besonders. So eine Aussage disqualifiziert dich als Newbie schon von selbst.
Dann muss ich mein LPIC3 wohl in Timbuktu erworben haben . Leute gibt's ...
Lies das Manual lsof und du wirst merken dass es genau das ist was du dafür brauchst.
Bitte warten ..
Mitglied: decehakan
12.01.2020 um 17:21 Uhr
du versteht das immer noch nicht :D .

Ich helfe dir mal auf die Sprünge, das Problem zu verstehen, anscheinend fehlt die hier die Erfahrung. Ein package zu installieren und über eine englische Guide zu lesen, wie man das benutzt ist keine Kunst. Wissen, Erfahrung und know how ist entscheidend.

Also netstat/lsof zeigen die dynamischen Port an, jaa aber: nur die aufgebaut sind oder offene Port.

ABER JETZT KOMMT (Hier 3 mal lesen serial): dynamische Ports die kurzfristig geöffnet sind ( kurzfristig geöffnet bedeutet für dich = der Port schließt auch sofort), zeigt er mir nicht an ! Ist ja auch logisch.

Ich mach dir nochmal ein Praxisbeispiel aus einem dropped log, manche lernen mit einem Praxisbeispiel besser newbie ;):

Hier am 10 Jan hat mein Server über den SPT 49716 eine Verbindung zu einem NTP-Server aufgebaut.
Jetzt möchte ich wissen welcher Prozess PID den SPT 49716 benutzt hat, nur als neugier.

lsof -i oder netstat -nlp geben keine Info, DENN dieser Port wurde kurzfristig geöffnet, vielleicht nur eine Sekunde lang.

Jetzt kannst du rockie (anfänger) sagen: was wenn du zu richtigen Zeitpunkt lsof -i -P , ja dann bekomme ich den PID raus.

Ich werde dir dann kontern und sagen rockie (anfänger): die Wahrscheinlichkeit von 24 h, die richtige Sekunde zu finden ist 1 /24*36000~ fast 0

Jetzt du verstehen du profi ;), ich hoffe du konntest aus dem Thread etwas zu Netzwerk mit Linux mehr lernen ;)
Bitte warten ..
Mitglied: 142232
LÖSUNG 12.01.2020, aktualisiert um 18:08 Uhr
Ich werde dir dann kontern und sagen rockie (anfänger): die Wahrscheinlichkeit von 24 h, die richtige Sekunde zu finden ist 1 /24*36000~ fast 0
Tja wenn man hier schon die Befehle falsch hier rauskopiert ...deswegen der Repeat-Parameter im Beispiel waren es zwar 2 Sekunden, aber das kannst du ja anpassen oder mit watch arbeiten. Das kannst du beliebig verkleinern und dann z.B. mit einem nachgeschalteten grep die passenden Einträge ausfiltern. Das Ganze als Daemon unbeobachtet mit Log laufen lassen, fertig. Bisschen selbst mitdenken sollte man hier ja eigentlich erwarten können.

Auf den "Rockie" (Hast wohl zu viel Filmchen geschaut ...du meinst wohl Rookie ) / Profi Quatsch gehe ich jetzt nicht mehr ein das ist Kindergarten-Krams und gehört nicht in ein Admin-Forum.

Alternativ kannst du das natürlich auch mit Audit-Regeln erfassen und loggen lassen. Mit auditctl /ausearch
https://linux.die.net/man/8/auditctl
https://linux.die.net/man/8/ausearch
https://serverfault.com/questions/666482/how-to-find-out-pid-of-the-proc ...
Bitte warten ..
Mitglied: decehakan
12.01.2020, aktualisiert um 18:42 Uhr
@142232: er zeichnet aber dennoch nicht auf, ich müsste alle Sekunden nachschauen, wann welche port welche PID benutzt hat, ist zwar eine Lösung, aber müsste daran arbeiten und die logs speichern. ich werd es mal mit logs modifizieren.
Weil es doch eine Lösung ist, zwar keine elegante, hast du mein Problem gelöst ;)

audithctl und ausearch ist glaub ich die Lösung, müsste mich da reinlesen.
Bitte warten ..
Mitglied: Henere
12.01.2020 um 18:29 Uhr
Port 123 NTP.
soll der im Millisekundenrhytmus nach der Zeit fragen ?
Bitte warten ..
Mitglied: decehakan
12.01.2020 um 18:38 Uhr
@Henere:

macht ja kein Sinn, das muss aufgezeichnet werden. Glaube ausearch auditctl ist die Lösung.
Bitte warten ..
Mitglied: Henere
12.01.2020 um 19:59 Uhr
Was muss aufgezeichnet werden ?
Wenn ein Dienst einen highport öffnet um auf einen dedizierten Server per NTP nach der Zeit zu fragen ?
Es gibt Leute, die loggen sich zu Tode.....
Bitte warten ..
Ähnliche Inhalte
DNS
DNS Verschachtelung zugunsten NTP
gelöst Frage von IT-EinsteigerDNS5 Kommentare

Guten Tag Freunde der IT, Ist es irgendwie sinnvoll möglich, DNS-Records so anzulegen, dass Sie als Loadbalancer funktionieren? Etwas ...

Datenschutz

VPN Anbieter Mikrotik baut verbindung auf

Frage von 121851Datenschutz8 Kommentare

Hallo zusammen, ich hätte da eine kleine Herausforderung. Möchte mir einen VPN Anbieter zulegen und habe ein bisschen gegoogelt ...

Firewall

SOPHOS Red baut keine Internet-Verbindung auf

Frage von schlueteritFirewall4 Kommentare

Guten Morgen, ich bin derzeit bei der Einrichtung meiner SOPHOS RED 15 am verzweifeln. Aber zunächst zu Situation: Ich ...

Informationsdienste

Fritzbox baut keine LTE Verbindung mehr auf

Frage von Axel90Informationsdienste5 Kommentare

Hallo an alle, ich habe ein Problem mit einer Fritzbox 6840 LTE. Dort ist eine Telekom SIM Karte eingesetzt. ...

Neue Wissensbeiträge
Sicherheit
Störung bei Telematikinfrasturktur GEMATIK
Information von lcer00 vor 3 StundenSicherheit

Am 27. Mai 2020 ist es offenbar zu einer Fehlkonfiguration in der Zentralen Telematikinfrastruktur gekommen. Nähreres dazu findet sich ...

Informationsdienste

Trump vs Twitter - Angriff auf die Meinungsfreiheit?

Information von Frank vor 1 TagInformationsdienste3 Kommentare

Trump nutzt Twitter rege. Nach Hinweisen auf Falschbehauptungen drohte er dem Dienst. Was das bedeutet und die Konsequenzen dazu ...

Viren und Trojaner

Trendmicro Treiber erkennt Treibertestumgebung und verhält sich dann anders

Information von DerWoWusste vor 1 TagViren und Trojaner

Wenn das stimmen sollte, haben wir einen dem Abgasskandal ähnlichen Fall.

Webbrowser
Mozilla Firefox 77 verfügbar
Information von Frank vor 1 TagWebbrowser

Mozilla hat Firefox Version 77 freigegeben. Neben Verbesserungen an "Pocket", einigen Sicherheitsupdates, einer bessere Übersicht für TLS-Zertifikate, wurde der ...

Heiß diskutierte Inhalte
Sicherheits-Tools
Passwortmanager DGSVO (Deutscher Anbieter - Hoster)
Frage von SoccerdeluxSicherheits-Tools35 Kommentare

Hallo zuammen, ich arbeite für meine Kunden auf unterschiedlichen Geräten / Notebooks. Ich ärgere mich jedesmal, das ich mein ...

Netzwerkgrundlagen
VPN Verbindung zwischen Cisco RV180 und Cisco RV340
Frage von dodo-rNetzwerkgrundlagen19 Kommentare

Hallo! Ich habe folgende Situation: Zwei Wohnungen - in der ersten Wohnung befindet sich ein NAS das an einem ...

Batch & Shell
Ip-Adresse-Konfiguration speichern zur Wiederherstellung
gelöst Frage von alex1991Batch & Shell19 Kommentare

Hallo, ich bin eigentlich nicht in der IT-Abteilung, aber als Programmierer bin ich noch am nächsten dran. Deshalb wurde ...

SAN, NAS, DAS
QNAP NAS - CIFS - Berechtigungen
Frage von emeriksSAN, NAS, DAS17 Kommentare

Hi, ich habe hier ein QNAP NAS bei welchem beim Zugriff mit Windows auf die Freigaben "Jeder - Vollzugriff" ...