On Thursday 04 December 2008 09:55:21 you wrote: > Michele Orsenigo wrote: > > Su una postazione desktop, con Debian sid e kernel custom 2.6.26, qualche > > programma, ogni tanto, mi apre connessioni tcp e/o udp non usuali, come > > rivelato dai log del firewall che presiede l'accesso internet. > > > > Ora, tramite iptables, riesco tranquillamente a tracciare il traffico, > > compreso uid e gid con il quale gira il processo, ma dato che l'utente è > > sempre il medesimo (escluso root che però fa girare solo i demoni di > > sistema), non riesco a risalire al programma. > > > > C'è qualcosa, di non eccessivamente pesante per tracciare anche il pid ? > > O devo proprio lanciare ogni singolo programma con un'utenza tutta sua ?
> "lsof -i" sulla macchina? > Ciao ciao, > Gippa purtroppo mi accorgo solo a posteriori (dal log di iptables) che è stata utilizzata una porta non usuale. Quindi mi è inutile lanciare lsof perchè la connessione a quel punto è già stata chiusa. Bisognerebbe farlo richiamare da una regola di iptables o forse da un evento nel momento della sua scrittura nel log ..... Ci penso su, ma se qualcuno ha un'idea migliore è ben accetta. Grazie -- Michele Orsenigo [EMAIL PROTECTED] ---------------- ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
