ฉันพยายามที่จะหา ปิด ของซ็อกเก็ตโดยใช้บันทึกเชน OUTPUT ของ iptables หรือเพิ่มลงในบันทึก
กฎ iptable ปัจจุบันของฉัน:
sudo iptables -A OUTPUT -j LOG --log-prefix='[PID]' --log-level 7 --log-uid
ฉันรู้สึกผิดหวังเล็กน้อยเมื่อรู้ว่า iptables' เจ้าของ โมดูลสามารถกรองรายการตาม ปิด (โดยใช้ -m เจ้าของ --owner-pid flag) ซึ่งหมายความว่ามีข้อมูลอยู่ที่นั่น แต่ฉันไม่สามารถเข้าสู่ระบบได้
ฉันรู้ว่ามันเป็นไปไม่ได้ที่จะทำกับ INPUT chain เนื่องจาก iptables เป็นกระบวนการเคอร์เนล แต่สำหรับ OUTPUT chain มันควรจะเป็นไปได้
ความคิดใด ๆ หรือแม้แต่วิธีการข้ามข้อมูลบันทึกเพื่อรับ PID ของการเชื่อมต่อลูกโซ่ OUTPUT
ดังนั้น ในปัจจุบันจึงไม่มีทางที่ IPtables จะกรองแพ็กเก็ตตาม PID ได้ แต่คุณสามารถทำได้ตาม UID หรือ GID:
ตัวเลือกการจับคู่เจ้าของ:
[!] --uid-owner userid[-userid] จับคู่ UID ในเครื่อง
[!] --gid-owner groupid[-groupid] จับคู่ GID ในเครื่อง
[!] --socket-exists ตรงกันถ้ามีซ็อกเก็ต
--suppl-groups จับคู่กลุ่มเสริมที่ตั้งค่าด้วย --gid-owner
คุณสามารถเพิ่มผู้ใช้ใหม่แล้วเรียกใช้แอปพลิเคชันในฐานะผู้ใช้ที่สร้างขึ้นใหม่:
แอปพลิเคชันผู้ใช้ sudo -u
หากคุณมีผู้ใช้อยู่แล้ว เช่น โพสต์ฟิกซ์ที่มีบัญชีผู้ใช้อยู่แล้ว คุณสามารถทำได้:
ขั้นแรก ค้นหา UID ของผู้ใช้:
[root@mail ~]# cat /etc/passwd | grep postfix
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
ประการที่สอง เพิ่มกฎ iptables นี้ ให้ความสนใจกับตำแหน่งที่คุณต้องการในห่วงโซ่ผลลัพธ์ของคุณ:
/usr/sbin/iptables -A OUTPUT -m เจ้าของ --uid-เจ้าของ 89 -j LOG --log-คำนำหน้า "POSTFIX: "
จากนั้นแพ็กเก็ตทั้งหมดจากผู้ใช้ โพสต์ฟิกซ์ จะถูกบันทึก
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
