我们一般的虚拟主机服务器(LAMP使用Parallels Plesk)开始转向PROMISCUOUS模式ON的eth0“本身”。
2013 年 11 月 8 日,当rkhunter我从“可能的混杂接口”中警告我们时,我注意到了配置的变化,这之前从未发生过。经过一番谷歌搜索后,我没有在我们的服务器上找到任何混杂模式的真正用例,所以我禁用了它,# ifconfig eth0 -promisc只是为了在一天后发现标志已被重新设置。
这是内核日志所说的:
11 月 8 日 14:51:31 哈林塔内核:[3301285.098047] klogd1 使用过时的 (PF_INET,SOCK_PACKET) 11 月 8 日 14:51:31 哈林塔内核:[3301285.099528] 设备 eth0 模式进入混杂 11 月 11 日 08:34:18 哈林塔内核:[3537242.374911] 设备 eth0 离开混杂模式 11 月 12 日 07:46:30 哈林塔内核:[3620559.485388] 设备 eth0 进入混杂模式 11 月 13 日 08:47:36 哈林塔内核:[3710393.877512] 设备 eth0 离开混杂模式 11 月 14 日 07:53:49 哈林塔内核:[3793353.202243] 设备 eth0 进入混杂模式 11 月 14 日 09:16:03 哈林塔内核:[3798274.154435] 设备 eth0 离开混杂模式
我包含该klogd1消息是因为它的即时时间戳。从身份验证日志中,我没有看到围绕第一个“进入混杂模式”消息的任何可疑活动。
由于两次输入的时间戳大致相似,因此我检查了当时是否有任何 cronjob 正在运行。大多数日常工作(我用这个工具搜索过)在 06:25 运行,最新的和下一个工作在 08:00 运行。这些 06:25 的作业都没有包含单词ifconfig或promisc。
什么可以在eth0接口上设置混杂模式,我应该担心吗?(我是,但我应该吗?)是否有任何合法理由应该设置混杂模式?
有人可能正在运行数据包嗅探器、tcpdump、wireshark 等。最后看看谁在登录。如果你配置了,请仔细检查 sudoers 日志。