我正在寻找一个守护进程实用程序来跟踪所有非本地 TCP 连接以及哪些二进制文件与哪些 IP 和端口建立 TCP 连接(主动和被动)。
auditd看起来像是一个很棒的工具。
下列的这个帖子,我注意到以下规则捕获了所有连接:
auditctl -a exit,always -F arch=b64 -S connect -k MYCONNECT
我看到许多这样的条目:
type=SOCKADDR msg=audit(04/01/2021 10:54:23.327:397) : saddr={ fam=local path=/dev/log }
type=SYSCALL msg=audit(04/01/2021 10:54:23.327:397) : arch=x86_64 syscall=connect success=yes exit=0 a0=0x4 a1=0x7fc64b29a6c0 a2=0x6e a3=0x20656c62616e6520 items=1 ppid=3116 pid=3156 auid=root uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts0 ses=2 comm=sudo exe=/usr/bin/sudo key=MYCONNECT
type=SOCKADDR msg=audit(04/01/2021 10:54:23.328:403) : saddr={ fam=local path=/var/run/dbus/system_bus_socket }
type=SYSCALL msg=audit(04/01/2021 10:54:23.328:403) : arch=x86_64 syscall=connect success=yes exit=0 a0=0x4 a1=0x55e28814cac8 a2=0x21 a3=0x7fff6e3462d0 items=1 ppid=3116 pid=3156 auid=root uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts0 ses=2 comm=sudo exe=/usr/bin/sudo key=MYCONNECT
我想知道是否有办法通过 AF 系列进行过滤,限制为 IPv4 和 IPv6。
我可以添加一个过滤器来捕获socketAF 系列 = IPv4 或 IPv6 的系统调用。但对于connect系统调用,我不确定该怎么做。
谢谢。