Benutzer-Werkzeuge

Webseiten-Werkzeuge


tachtler:arpwatch_archlinux

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
tachtler:arpwatch_archlinux [2021/09/19 09:44] – [Dienst: arpwatch@[interface].service einrichten] klaustachtler:arpwatch_archlinux [2022/03/31 05:35] (aktuell) – [Installation] klaus
Zeile 6: Zeile 6:
 | Homepage          | [[https://ee.lbl.gov/]]                                                             | | Homepage          | [[https://ee.lbl.gov/]]                                                             |
 | Dokumentation     | ''man-page''                                                                        | | Dokumentation     | ''man-page''                                                                        |
 +===== Funktionsweise =====
 +
 +Folgende Ereignisse werden von ARPwatch überwacht:
 +
 +^ Ereignis                    ^ Beschreibung                                                                                          ^
 +| new activity                | Dieses Ethernet/IP Adresspaar wurde das erste mal (wieder) in den letzten sechs Monaten genutzt       |
 +| new station                 | Diese Ethernet Adresse wurde zum ersten mal genutzt                                                   |
 +| flip flop                   | Die Ethernet Adresse hat sich zu einer schon mal verwendeten Ethernet Adresse geändert                | 
 +| changed ethernet address    | Die Ethernet Adresse hat sich geändert                                                                |
 +
 +Folgende ''journald''-Nachrichten werden mindestens protokolliert:
 +
 +^ Nachricht                   ^ Beschreibung                                                                                          ^
 +| ethernet broadcast          | Die MAC Ethernet Adresse des Geräts ist eine ''broadcast'' Adresse                                    |
 +| ip broadcast                | Die IP Adresse des Geräts ist eine ''broadcast'' Adresse                                              |
 +| bogon                       | Die Quell-IP-Adresse ist keine Adresse eines lokalen ''subnets''                                      |
 +| ethernet broadcast          | Die Quell-MAC-Adresse oder die ARP-Ethernet-Adresse besteht nur aus gleichen Teilen oder Nullen       |
 +| ethernet mismatch           | Die Quell-MAC-Ethernet Adresse stimmt nicht mit der Adresse im ARP-Paket überein                      |
 +| reused old ethernet address | Die Ethernet Adresse wurde in eine bereits vorher oder weit vorher gesehene Adresse geändert          |
 +| suppreddes DECnet flip flop | Ein "flip flop" Report wurde ausgelöst da eine der beiden gesehenen Adressen eine DECnet Addresse ist |
 +
 +:!: **HINWEIS** - Informationen zu DECnet-Adressen sind hier zu finden [[http://de.wikipedia.org/wiki/DECnet|Wiki DECnet Adressen]]
  
 ===== Installation ===== ===== Installation =====
Zeile 22: Zeile 44:
  
 Folgender Befehl ist zur Installation auszuführen: Folgender Befehl ist zur Installation auszuführen:
 +<code>
 +# pacman -S arpwatch
 +</code> 
 +++++ Installationsverlauf |
 <code> <code>
 # pacman -S arpwatch # pacman -S arpwatch
Zeile 76: Zeile 102:
 ==> root: 27 ==> root: 27
 </code> </code>
 +++++
  
 Mit nachfolgendem Befehl kann überprüft werden, was der Inhalt des Pakets ''arpwatch'' war und was und vorallem wo installiert wurde: Mit nachfolgendem Befehl kann überprüft werden, was der Inhalt des Pakets ''arpwatch'' war und was und vorallem wo installiert wurde:
 +<code>
 +# pacman -Qil arpwatch
 +</code> 
 +++++ Installierte Dateien |
 <code> <code>
 # pacman -Qil arpwatch # pacman -Qil arpwatch
Zeile 123: Zeile 154:
 arpwatch /var/lib/arpwatch/ethercodes.dat arpwatch /var/lib/arpwatch/ethercodes.dat
 </code> </code>
 +++++
  
 ===== Konfiguration ===== ===== Konfiguration =====
Zeile 144: Zeile 176:
 # Tachtler # Tachtler
 # default: After=network.target # default: After=network.target
-After=network.target postfix.service+After=network.target network-online.target postfix.service 
 +# Tachtler - new - 
 +Wants=network-online.target
  
 [Service] [Service]
Zeile 162: Zeile 196:
 Nachfolgende Parameter wurden zum Aufruf von ''/usr/bin/arpwatch'' hinzugefügt: Nachfolgende Parameter wurden zum Aufruf von ''/usr/bin/arpwatch'' hinzugefügt:
  
-  * <code ini>After=network.target postfix.service</code>+  * <code ini>After=network.target network-online.target postfix.service 
 +Wants=network-online.target 
 +</code>
  
-Der Service soll nicht nur nach dem Start des Netzwerkes, sondern auch erst nach dem Start des Dienstes [[http://www.postfix.org/|Postfix]] gestartet werden.+Der Service soll nicht nur nach dem Start des Netzwerkes, sondern auch erst nach dem das Netzwerk ativ ist und nach dem Start des Dienstes [[http://www.postfix.org/|Postfix]] gestartet werden.
  
   * <code ini>-D /var/lib/arpwatch</code>   * <code ini>-D /var/lib/arpwatch</code>
Zeile 190: Zeile 226:
  
 ===== ARPwatch starten ===== ===== ARPwatch starten =====
- 
-==== Dienst: arpwatch@[interface].service einrichten ==== 
- 
-Um das Starten von [[https://ee.lbl.gov/|ARPwatch]] auch nach einem System-(re)-start zukünftig und dauerhaft zu realisieren, kann folgender Befehl genutzt werden: 
-<code> 
-# systemctl enable arpwatch@eth0.service 
-Created symlink /etc/systemd/system/multi-user.target.wants/arpwatch@eth0.service → /etc/systemd/system/arpwatch@.service. 
-</code> 
-Bei **__mehreren__ Netzwerk-Interfaces** muss der Befehl pro Interface einfach wiederholt werden, wie nachfolgend dargestellt: 
-<code> 
-# systemctl enable arpwatch@eth1.service 
-Created symlink /etc/systemd/system/multi-user.target.wants/arpwatch@eth1.service → /etc/systemd/system/arpwatch@.service. 
-</code> 
- 
-Ein Überprüfung, ob [[https://ee.lbl.gov/|ARPwatch]] Dienst/Daemon des Betriebssystems bei einem System-(re)-start mit gestartet wird, kann mit folgenden Befehlen ermittelt werden: 
-<code> 
-# systemctl --state=loaded | grep arpwatch@ 
-  arpwatch@eth0.service                            loaded inactive dead      Watch ARP on interface net0 
-  arpwatch@eth1.service                            loaded inactive dead      Watch ARP on interface net1 
-</code> 
-bzw. 
-<code> 
-# systemctl is-enabled arpwatch@eth0.service 
-enabled 
-</code> 
-und bei **__mehreren__ Netzwerk-Interfaces** muss der Befehl pro Interface einfach wiederholt werden, wie nachfolgend dargestellt: 
-<code> 
-# systemctl is-enabled arpwatch@eth1.service 
-enabled 
-</code> 
  
 ==== Dienst: postfix.service einrichten ==== ==== Dienst: postfix.service einrichten ====
 +
 +:!: **WICHTIG** - **Auf die Konfiguration von [[http://www.postfix.org|Postfix]] wird hier __NICHT__ speziell eingegangen!**
  
 Bevor [[https://ee.lbl.gov/|ARPwatch]] gestartet werden kann, muss sichergestellt sein, das auch der Dienst **''postfix.service''** bereits gestartet ist. Bevor [[https://ee.lbl.gov/|ARPwatch]] gestartet werden kann, muss sichergestellt sein, das auch der Dienst **''postfix.service''** bereits gestartet ist.
  
 Falls dies nicht der Fall sein sollte, muss dies ebenfalls noch wie folgt eingerichtet werden, was mit nachfolgenden Befehlen erfolgen kann Falls dies nicht der Fall sein sollte, muss dies ebenfalls noch wie folgt eingerichtet werden, was mit nachfolgenden Befehlen erfolgen kann
- 
-:!: **WICHTIG** - **Auf die Konfiguration von [[http://www.postfix.org|Postfix]] wird hier __NICHT__ speziell eingegangen!** 
  
 Um das Starten von [[http://www.postfix.org|Postfix]] auch nach einem System-(re)-start zukünftig und dauerhaft zu realisieren, kann folgender Befehl genutzt werden: Um das Starten von [[http://www.postfix.org|Postfix]] auch nach einem System-(re)-start zukünftig und dauerhaft zu realisieren, kann folgender Befehl genutzt werden:
Zeile 283: Zeile 289:
 Sep 19 09:33:16 server postfix/master[64315]: daemon started -- version 3.6.2, > Sep 19 09:33:16 server postfix/master[64315]: daemon started -- version 3.6.2, >
 Sep 19 09:33:16 server systemd[1]: Started Postfix Mail Transport Agent. Sep 19 09:33:16 server systemd[1]: Started Postfix Mail Transport Agent.
 +</code>
 +
 +==== Dienst: arpwatch@[interface].service einrichten ====
 +
 +Um das Starten von [[https://ee.lbl.gov/|ARPwatch]] auch nach einem System-(re)-start zukünftig und dauerhaft zu realisieren, kann folgender Befehl genutzt werden:
 +<code>
 +# systemctl enable arpwatch@eth0.service
 +Created symlink /etc/systemd/system/multi-user.target.wants/arpwatch@eth0.service → /etc/systemd/system/arpwatch@.service.
 +</code>
 +Bei **__mehreren__ Netzwerk-Interfaces** muss der Befehl pro Interface einfach wiederholt werden, wie nachfolgend dargestellt:
 +<code>
 +# systemctl enable arpwatch@eth1.service
 +Created symlink /etc/systemd/system/multi-user.target.wants/arpwatch@eth1.service → /etc/systemd/system/arpwatch@.service.
 +</code>
 +
 +Ein Überprüfung, ob [[https://ee.lbl.gov/|ARPwatch]] Dienst/Daemon des Betriebssystems bei einem System-(re)-start mit gestartet wird, kann mit folgenden Befehlen ermittelt werden:
 +<code>
 +# systemctl --state=loaded | grep arpwatch@
 +  arpwatch@eth0.service                     loaded inactive dead      Watch ARP on interface net0
 +  arpwatch@eth1.service                     loaded inactive dead      Watch ARP on interface net1
 +</code>
 +bzw.
 +<code>
 +# systemctl is-enabled arpwatch@eth0.service
 +enabled
 +</code>
 +und bei **__mehreren__ Netzwerk-Interfaces** muss der Befehl pro Interface einfach wiederholt werden, wie nachfolgend dargestellt:
 +<code>
 +# systemctl is-enabled arpwatch@eth1.service
 +enabled
 </code> </code>
  
Zeile 345: Zeile 381:
 Sep 19 09:41:54 server systemd[1]: Started Watch ARP on interface eth1. Sep 19 09:41:54 server systemd[1]: Started Watch ARP on interface eth1.
 Sep 19 09:41:54 server arpwatch[64363]: listening on eth1 Sep 19 09:41:54 server arpwatch[64363]: listening on eth1
 +</code>
 +
 +===== ARPWatch überprüfen =====
 +
 +==== ARPWatch: /var/lib/arpwatch/[interface].dat ====
 +
 +In der Datei, hier z.B. 
 +  * ''/var/lib/arpwatch/eth0.dat'' bzw. 
 +  * ''/var/lib/arpwatch/eth1.dat''
 +werden standardmäßig alle Ethernet-MAC/IP-Adressen-Paare und zusätzliche Informationen wie ''unix''-Zeitstempel und ''hostname'' des Rechners abgelegt, hier ein Auszug daraus:
 +<code ini>
 +52:54:00:00:00:10 192.168.0.10 1632037980 server
 +52:54:00:3d:4c:3e 192.168.0.1 1632037980      _gateway
 +</code>
 +
 +==== ARPwatch: E-Mail ====
 +
 +Ein e-Mail-Benachrichtigung könnte wie folgt aussehen:
 +<code>
 +   Date: Sun, 19 Sep 2021 09:47:35 +0200 (CEST)
 +   From: arpwatch@tachtler.net (Arpwatch)
 +     To: root@tachtler.net
 +Subject: new station (server.tachtler.net)
 +
 +            hostname: server.tachtler.net
 +          ip address: 192.168.0.10
 +    ethernet address: 52:54:00:01:00:10
 +     ethernet vendor: Fujitsu Siemens Computers
 +           timestamp: Sunday, September 19, 2021 9:47:35 +0200
 +</code>
 +
 +==== ARPwatch: journald ====
 +
 +Meldungen im ''journald'' könnten wie folgt aussehen: (**nur relevanter Ausschnitt**)
 +<code>
 +# journalctl -u arpwatch*
 +...
 +Sep 19 09:53:01 server arpwatch[64341]: new station 192.168.0.10 52:54:00:00:00:10
 +Sep 19 09:53:01 server arpwatch[64341]: new station 192.168.0.1 52:54:00:3d:4c:3e
 </code> </code>
  
tachtler/arpwatch_archlinux.1632037459.txt.gz · Zuletzt geändert: 2021/09/19 09:44 von klaus