自从更新到 Debian 9 以来,我每天都从服务器上的 chkrootkit 获得有关 systemd-networkd 是数据包嗅探器的更新。如果直接使用 ifpromisc,我会得到以下结果:
%> sudo /usr/lib/chkrootkit/ifpromisc
[sudo] password for ...
lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/lib/systemd/systemd-networkd[416])
eth0: PACKET SNIFFER(/lib/systemd/systemd-networkd[416])
提到 promisc,我检查了一下ip,eth0 也不处于 promisc 模式:
%> ip l
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN mode DEFAULT group default
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
link/ether 04:01:37:1a:4c:01 brd ff:ff:ff:ff:ff:ff
首先,这可能是误报,还是更严重的情况? Networkd 是否需要做一些可以像数据包嗅探器一样被拾取的事情?我不太了解数据包嗅探器是如何进行的,或者网络工作,所以我不确定如何处理这些警报。