Почему flow-capture запускается под root?
Доброго времени суток, Подскажите причину по которой flow-capture из пакета flow-tools запускается под root? По моему мнению ему вполне хватит nobody или отдельного пользователя. -- WBR, Andrey Tataranovich -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150624191548.2e74a8de@dragoncore.local
Re: Почему flow-capture запускается под root?
В Wed, 24 Jun 2015 19:15:48 +0300 Andrey Tataranovich tataranov...@gmail.com пишет: Доброго времени суток, Подскажите причину по которой flow-capture из пакета flow-tools запускается под root? По моему мнению ему вполне хватит nobody или отдельного пользователя. https://books.google.ru/books?id=9lcxWbqAR0QCpg=PA90lpg=PA90dq=flow-capture+rootsource=blots=uOweYsUqmjsig=jpaakwpFsA4lU47HYx1FM7ilAe8hl=rusa=Xei=f-GKVc7LDuK_ygOm7Zh4ved=0CEcQ6AEwBQ#v=onepageq=flow-capture%20rootf=false -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150624200124.063766ba@pa
Re[2]: flow-capture
Мда уж ... я сижу в сети за пиксами поэтому нужды не было настраивать фаервол... проверил ничё не tcpdump говорит что каждую минуту валятся записи, то одна то две то три... а в сислоге нет ничё... Кто ещё что посоветует? Friday, October 8, 2004, 5:00:30 PM, you wrote: SA Eduard Ivanov wrote: SA flow-capture[2570]: New exporter: time=1097034637 src_ip=10.0.1.1 SA dst_ip=10.0.4.10 d_version=5 ВО вот этого то нету :( и каков синтаксис его дебаг левела не понятно :(( может подскажешь? SA Мне остаётся только посоветовать убедиться, что firewall точно не фильтрует SA порт 777. Дело в том, что вывод tcpdump'а не показатель - он захватывает SA пакеты до кода netfilter, поэтому не факт, что пакеты доходят до приложения. SA Других предположений у меня нет. SA А про дебаг-опции мне сказать нечего - пользоваться не приходилось. SA -- SA All great discoveries are made by mistake -- Best regards, Eduardmailto:[EMAIL PROTECTED]
Re: flow-capture
Eduard Ivanov wrote: Мда уж ... я сижу в сети за пиксами поэтому нужды не было настраивать фаервол... проверил ничё не tcpdump говорит что каждую минуту валятся записи, то одна то две то три... а в сислоге нет ничё... Ну, хорошо. Для начала убедитесь в работоспособности вашего flow-capture посредством flow-gen. -- All wiyht. Rho sritched mg kegtops awound?
Re[2]: flow-capture
EI Oct 7 17:18:48 bingo flow-capture[3936]: setsockopt(size=4194304) SA Это нормально. flow-capture увеличивает размер буфера. Ладно, отлично. EI В итоге запустил вот что: EI #flow-capture 0/192.168.0.1/777 -w /tmp/123 -S 1 n 1 SA Попробуйте -n 1439 - это и должна получится ровно одна минута. Если и через SA пару минут ничего в каталоге /tmp/123 не осядет - попробуйте killall -1 SA flow-capture. Если и это не поможет, то проверяйте firewall, смотрите сколько SA екзепляров flow-capture запущено и т.д. и т.п. Экземпляр один. Полечилось выставлением версий на обоих девайсах поставил -V 5 и файлики начали появляться... но они стабильно длинной 80 байт... flow-cat ничё не показывает... наверное потому что там инфа только том откуда пришли данные. Хотя когда на сиске смотрю: #sh ip cache flow видна инфа всякая с раскладкой по разным IP-шникам... да и активность сетевая есть на циске, потому что телфония заведена через неё ... Вот где истина то? почему фалы по 80 байт то? или может быть этого вполне достаточно, но я тогда не умею смотреть их? :) -- Best regards, Eduardmailto:[EMAIL PROTECTED]
Re: flow-capture
Eduard Ivanov wrote: Экземпляр один. Полечилось выставлением версий на обоих девайсах поставил -V 5 и файлики начали появляться... но они стабильно длинной 80 байт... flow-cat ничё не показывает... наверное потому что там инфа только том откуда пришли данные. Хотя когда на сиске смотрю: #sh ip cache flow видна инфа всякая с раскладкой по разным IP-шникам... да и активность сетевая есть на циске, потому что телфония заведена через неё ... Вот где истина то? почему фалы по 80 байт то? или может быть этого вполне достаточно, но я тогда не умею смотреть их? :) 1) flow-cat не для этого. Смотреть - flow-print, но 80 байт действительно маловато. Обычно приблизительно такой размер имеют только-что созданные ещё не закрытые дампы. 2) Подробнее посмотреть что за netflow идёт с маршрутизатора можно tcpdump'ом с параметром -T cnfp. Например, в моём случае: # tcpdump -np -T cnfp port 2001 15:29:55.010098 IP 10.0.1.1.40180 10.0.4.10.2001: NetFlow v5, 1048580.999 uptime, 1097234995.01950, #2514572, 21 recs 15:29:55.021424 IP 10.0.1.1.40180 10.0.4.10.2001: NetFlow v5, 1048576.011 uptime, 1097234995.03077, #2514593, 30 recs т.е. чётко видно какая версия netflow используется маршрутизатором и сколько записей было в каждом принятом пакете. 3) Когда flow-capture подхватывает поток - фактически, по факту приёма первого же пакета, он репортует об этом через syslog, указывая откуда и какой версии поток идёт: flow-capture[2570]: New exporter: time=1097034637 src_ip=10.0.1.1 dst_ip=10.0.4.10 d_version=5 С этого момента все должно работать. -- Save the Earth - kill a lawyer. -- Anonymous
Re[2]: flow-capture
Hello Slava, Friday, October 8, 2004, 3:51:28 PM, you wrote: SA Eduard Ivanov wrote: Экземпляр один. Полечилось выставлением версий на обоих девайсах поставил -V 5 и файлики начали появляться... но они стабильно длинной 80 байт... flow-cat ничё не показывает... наверное потому что там инфа только том откуда пришли данные. Хотя когда на сиске смотрю: #sh ip cache flow видна инфа всякая с раскладкой по разным IP-шникам... да и активность сетевая есть на циске, потому что телфония заведена через неё ... Вот где истина то? почему фалы по 80 байт то? или может быть этого вполне достаточно, но я тогда не умею смотреть их? :) SA 1) flow-cat не для этого. Смотреть - flow-print, но 80 байт действительно SA маловато. Обычно приблизительно такой размер имеют только-что созданные ещё не SA закрытые дампы. SA 2) Подробнее посмотреть что за netflow идёт с маршрутизатора можно tcpdump'ом SA с параметром -T cnfp. Например, в моём случае: SA # tcpdump -np -T cnfp port 2001 SA 15:29:55.010098 IP 10.0.1.1.40180 10.0.4.10.2001: NetFlow v5, 1048580.999 SA uptime, 1097234995.01950, #2514572, 21 recs SA 15:29:55.021424 IP 10.0.1.1.40180 10.0.4.10.2001: NetFlow v5, 1048576.011 SA uptime, 1097234995.03077, #2514593, 30 recs SA т.е. чётко видно какая версия netflow используется маршрутизатором и сколько SA записей было в каждом принятом пакете. 16:05:57.464537 IP 82.204.226.137.51962 10.50.128.248.777: NetFlow v5, 193689.240 uptime, 1097237147.171621984, #5504, 1 recs 16:06:30.471740 IP 82.204.226.137.51962 10.50.128.248.777: NetFlow v5, 193721.316 uptime, 1097237179.248339208, #5505, 2 recs Ну вот... такая вот шняга у меня приходит ... и достаточно ругулятно... в принципе похоже на правду циска моя умеет ещё 1-ую версию и 9-ую... 9-ой не умеет flow-capture. Остаётся первая.. но там фунциональность хуже. SA 3) Когда flow-capture подхватывает поток - фактически, по факту приёма первого SA же пакета, он репортует об этом через syslog, указывая откуда и какой версии SA поток идёт: SA flow-capture[2570]: New exporter: time=1097034637 src_ip=10.0.1.1 SA dst_ip=10.0.4.10 d_version=5 ВО вот этого то нету :( и каков синтаксис его дебаг левела не понятно :(( может подскажешь? SA С этого момента все должно работать. :) бум ждать этого момента. Врагу не стаётся наш гордый админ :) -- Best regards, Eduardmailto:[EMAIL PROTECTED]
Re: flow-capture
Eduard Ivanov wrote: SA flow-capture[2570]: New exporter: time=1097034637 src_ip=10.0.1.1 SA dst_ip=10.0.4.10 d_version=5 ВО вот этого то нету :( и каков синтаксис его дебаг левела не понятно :(( может подскажешь? Мне остаётся только посоветовать убедиться, что firewall точно не фильтрует порт 777. Дело в том, что вывод tcpdump'а не показатель - он захватывает пакеты до кода netfilter, поэтому не факт, что пакеты доходят до приложения. Других предположений у меня нет. А про дебаг-опции мне сказать нечего - пользоваться не приходилось. -- All great discoveries are made by mistake
flow-capture
Привет всем! Подскажите где рыть, запущаю такую штуку... по логам всё ОК. Стартует. #flow-capture 0/192.168.0.1/777 -w /tmp/123 -D IPtraf видит что падают мне UDP пакетики на 777 порт а в дире ничё не появляется добавление ключика -d с разными значениями ни к чему не привело. :( не знаю уж что и предположить :( -- Best regards, Eduard mailto:[EMAIL PROTECTED]
Re: flow-capture
Eduard Ivanov wrote: Привет всем! Подскажите где рыть, запущаю такую штуку... по логам всё ОК. Стартует. #flow-capture 0/192.168.0.1/777 -w /tmp/123 -D IPtraf видит что падают мне UDP пакетики на 777 порт а в дире ничё не появляется добавление ключика -d с разными значениями ни к чему не привело. :( не знаю уж что и предположить :( Вообще-то, было бы неплохо указать ещё парметр -n и (по вкусу) -S. Например, -S 15 -n 95 - каждые 15 минут запись захваченных данных, переход к новому файлу и статистический отчёт в syslog. Кроме того, A SIGHUP signal will cause flow-capture to close the current file and create a new one. - как минмум для отладки может пригодиться. -- BOFH excuse #384: t's an ID-10-T error
Re[2]: flow-capture
Получаю в сислоге вот что: Oct 7 17:17:38 bingo flow-capture[3903]: setsockopt(size=4194304) Oct 7 17:18:48 bingo flow-capture[3936]: setsockopt(size=4194304) В итоге запустил вот что: #flow-capture 0/192.168.0.1/777 -w /tmp/123 -S 1 n 1 Thursday, October 7, 2004, 9:55:07 AM, you wrote: SA Eduard Ivanov wrote: Привет всем! Подскажите где рыть, запущаю такую штуку... по логам всё ОК. Стартует. #flow-capture 0/192.168.0.1/777 -w /tmp/123 -D IPtraf видит что падают мне UDP пакетики на 777 порт а в дире ничё не появляется добавление ключика -d с разными значениями ни к чему не привело. :( не знаю уж что и предположить :( SA Вообще-то, было бы неплохо указать ещё парметр -n и (по вкусу) -S. Например, SA -S 15 -n 95 - каждые 15 минут запись захваченных данных, переход к новому SA файлу и статистический отчёт в syslog. SA Кроме того, A SIGHUP signal will cause flow-capture to close the current file SA and create a new one. - как минмум для отладки может пригодиться. SA -- SA BOFH excuse #384: t's an ID-10-T error -- Best regards, Eduardmailto:[EMAIL PROTECTED]
Re: flow-capture
Eduard Ivanov wrote: EI Oct 7 17:18:48 bingo flow-capture[3936]: setsockopt(size=4194304) Это нормально. flow-capture увеличивает размер буфера. EI В итоге запустил вот что: EI #flow-capture 0/192.168.0.1/777 -w /tmp/123 -S 1 n 1 Попробуйте -n 1439 - это и должна получится ровно одна минута. Если и через пару минут ничего в каталоге /tmp/123 не осядет - попробуйте killall -1 flow-capture. Если и это не поможет, то проверяйте firewall, смотрите сколько екзепляров flow-capture запущено и т.д. и т.п. -- Just when you find out life's a bitch, it has puppies.