Мобильная версияЗахват Wireshark в реальном времени с помощью ssh-ключа на брандмауэрах Checkpoint ⇐ Linux
-
Anonymous
Захват Wireshark в реальном времени с помощью ssh-ключа на брандмауэрах Checkpoint
Я пытаюсь запустить захват Wireshark в реальном времени на брандмауэрах Checkpoint, который можно запустить через cmd с помощью plink.exe и Pageant, работающего в фоновом режиме. Все это можно развернуть с помощью сценариев Checkpoint, которые запускаются через консоль управления в режиме привилегий. Развертывание сценариев важно, поскольку у нас около 100+ устройств.
Я не очень хорошо разбираюсь в работе с Linux и готов поспорить, что существует много разных способов решения этой проблемы.
Цель состоит в том, чтобы пользователь мог запускать команду tcpdump только через ssh, которая затем передается в Wireshark.
Я нашел эту команду cmd в Интернете:
plink.exe -batch -l Wireshark *IP* "timeout 300 tcpdump -s0 -ni Mgmt -w - " | «C:\Program Files\wireshark\wireshark.exe» -k -i - И мне удалось заставить это работать для Пользователя, но следующей целью было ограничение.
Я обнаружил, что вы можете использовать файлauthorized_keys для ограничения определенных команд, но теперь мне нужно каким-то образом иметь возможность использовать переменную для интерфейса, иначе использование этой команды не имело бы смысла. Также было важно, чтобы эта команда не запускалась на нескольких интерфейсах или без тайм-аута, поскольку это могло создать проблемы с производительностью.
Пока у меня есть следующее:
# Добавление пользователя + группы useradd -u *какой-то идентификатор* Wireshark usermod -g Wireshark PCAP # Создание папки .ssh + файла доступа с открытым ключом компакт-диск /home/wireshark мкдир .ssh компакт-диск .ssh echo command="timeout 300 tcpdump -s0 -ni Mgmt -w -" ssh-rsa *key* /home/wireshark/.ssh/authorized_keys chmod 600 авторизованных_ключей chown Wireshark: pcapauthorized_keys CD .. chmod 755 .ssh chown Wireshark:wireshark .ssh компакт-диск /домашний/ chown Wireshark: PCAP Wireshark # Установка разрешений для tcpdump через группу pcap chgrp pcap /usr/sbin/tcpdump chmod 750 /usr/sbin/tcpdump setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump Скрипт был протестирован, и на данный момент при развертывании все работает как положено.
Я не уверен, что это возможно решить таким способом. Лучшим решением было бы, если бы вы могли задать любые параметры после «timeout 300 tcpdump»... Это также позволило бы нашему пользователю использовать параметр -host.
Я пробовал такие вещи, как
command=("timeout 300 tcpdump -s0 -ni" + $A + "-w -")... Но это не работает
Я пытаюсь запустить захват Wireshark в реальном времени на брандмауэрах Checkpoint, который можно запустить через cmd с помощью plink.exe и Pageant, работающего в фоновом режиме. Все это можно развернуть с помощью сценариев Checkpoint, которые запускаются через консоль управления в режиме привилегий. Развертывание сценариев важно, поскольку у нас около 100+ устройств.
Я не очень хорошо разбираюсь в работе с Linux и готов поспорить, что существует много разных способов решения этой проблемы.
Цель состоит в том, чтобы пользователь мог запускать команду tcpdump только через ssh, которая затем передается в Wireshark.
Я нашел эту команду cmd в Интернете:
plink.exe -batch -l Wireshark *IP* "timeout 300 tcpdump -s0 -ni Mgmt -w - " | «C:\Program Files\wireshark\wireshark.exe» -k -i - И мне удалось заставить это работать для Пользователя, но следующей целью было ограничение.
Я обнаружил, что вы можете использовать файлauthorized_keys для ограничения определенных команд, но теперь мне нужно каким-то образом иметь возможность использовать переменную для интерфейса, иначе использование этой команды не имело бы смысла. Также было важно, чтобы эта команда не запускалась на нескольких интерфейсах или без тайм-аута, поскольку это могло создать проблемы с производительностью.
Пока у меня есть следующее:
# Добавление пользователя + группы useradd -u *какой-то идентификатор* Wireshark usermod -g Wireshark PCAP # Создание папки .ssh + файла доступа с открытым ключом компакт-диск /home/wireshark мкдир .ssh компакт-диск .ssh echo command="timeout 300 tcpdump -s0 -ni Mgmt -w -" ssh-rsa *key* /home/wireshark/.ssh/authorized_keys chmod 600 авторизованных_ключей chown Wireshark: pcapauthorized_keys CD .. chmod 755 .ssh chown Wireshark:wireshark .ssh компакт-диск /домашний/ chown Wireshark: PCAP Wireshark # Установка разрешений для tcpdump через группу pcap chgrp pcap /usr/sbin/tcpdump chmod 750 /usr/sbin/tcpdump setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump Скрипт был протестирован, и на данный момент при развертывании все работает как положено.
Я не уверен, что это возможно решить таким способом. Лучшим решением было бы, если бы вы могли задать любые параметры после «timeout 300 tcpdump»... Это также позволило бы нашему пользователю использовать параметр -host.
Я пробовал такие вещи, как
command=("timeout 300 tcpdump -s0 -ni" + $A + "-w -")... Но это не работает
-
- Похожие темы
- Ответы
- Просмотры
- Последнее сообщение
