Co prawda ktoś już zrobił ten pakiet ale ta wersja nosi zmiany dokonane przez Boba Toxena.
Może na początek odpowiedź na pytanie co to jest i do czego to?
No więc program ten monitoruje naszą sieć na wypadek pojawienia się nieznanych adresów MAC o czym nas informuje.
Szczególnie dobre rozwiązanie przy sieciach radiowych, gdzie bezpieczeństwo pozostawia wile do życzenia.
Dobrze sprawdza się gdy ktoś próbuje poprzez wysyłanie fałszywych MAC adresó nam ze switcha zrobić huba.
No więc tak, na początku instalujemy paczkę:
pacman -U http://lgw.bleszno.net/nnd/arpwatch-bob-1.pkg.tar.gz
Binarka znajduje się w /usr/local/sbin
Kiedy już sie wszystko grzecznie zainstaluje przechodzimy do edycji pliku /etc/rc.d/rc.local w którym umieszczamy następujące polecenia aby program uruchamiał się automatycznie przy starcie systemu:
echo "Uruchamiam arpwatch na każdym interfejsie sieciowym"
ARPWATCH=/usr/local/sbin/arpwatch
ARPARGS="-0 -m twoj_adres@poczta.pl"
#Określ adres MAC routera nadrzędnego, jeżeli taki posiadasz
ARPUPS="-u 00:00:00:00:00:00"
killall arpwatch
$ARPWATCH -f /var/log/eth0 -i eth0 -w "arpwatch (NYC:eth0)" \
$ARPARGS $ARPUPS
$ARPWATCH -f /var/log/eth1 -i eth1 -w "arpwatch (NYC:eth1)" \
$ARPARGS
$ARPWATCH -f /var/log/eth2 -i eth2 -w "arpwatch (NYC:eth2)" \
$ARPARGS
Jeżeli nie posiadamy routera nadrzędnego należy usunąć:
ARPUPS="-u 00:00:00:00:00:00"
oraz
$ARPUPS
Oczywiście ilość wpisów:
$ARPWATCH -f /var/log/eth0 -i eth0 -w "arpwatch (NYC:eth0)" \
należy ograniczyć do ilości interfejsów które posiada serwer.
Teraz należy zainicjować bazy danych programu i uruchomić go po raz pierwszy:
cd /var/log
touch eth0 eth1 eth2
chmod 600 eth0 eth1 eth2
/etc/rc.d/rc.local
Zazwyczaj Arpwatch tworzy procesy potomne i kontynuuje prace w tle. Kiedy wystąpi jakieś zdarzenie , korzysta z mechanizmu Syslog aby wygenerować wpis do logu i wysłać e-mail.
Nie zapomnij o utworzeniu pustego pliku bazy danych!
Jeżeli plik nie będzie istniał, keidy Arpwatch się uruchamia, program generuje wpis do dziennika za posednictwem Syslog i po cichu kończy prace.
Można tego nie odróżnić od prawidłowego uruchomienia.
Statystyki powinny być generowane co 15 minut.
Tekst na podstawie ksiązki "Bezpieczeństwo w Linuksie"
Zaloguj się
Zarejestruj się
FAQ
Szukaj
.
