* /sbin/scritps/parar-tcpdump ------------------------------------------ #!/bin/bash kill `ps -aef | awk '/.\/tcpdump_sniffer$/ { print $2}'` -------------fin----------------------------- * el cron 01 00 * * * * /sbin/scripts/tcpdump_sniffer.sh 59 23 * * * * /sbin/scripts/parar-tcpdump
* Para arrancarlo con la maquina mete el comando en /etc/init.d/postfix por ejemplo, añade al scrit un if ,bla, bla, que vea si esta ya en marcha por horario, acuerdate del script perl para levantar los tuneles ssh inversos.
* Bueno, al final hice caso de los consejos de Camaleón y cree el servicio a partir de /etc/init.d/skeleton; además, no apunta al binario, sino al script ubicado en /sbin/scripts/, con lo cual tengo la operatividad del servicio y su funcionalidad cómodamente separada.
* PD. ¿Para que coño quieres ese script rulando todo el dia?, messages, who, w, lastlog, ntop, logsurfer, etc, etc, tcpdump es para hacer log puntuales y mejor presenciales, es decir se esta auditanto un problema detectado por otros medios.
¿Porqué? Bueno, pues porqué necesito tener una máquina que monitoree la red y probé lo siguiente: * ntop: muy facilito y cómodo; excelente el tema de entrono web en local, pero con el "problema" de trabajar en bbdd tipo robin-round. No puedes volcar los registros. Y me interesa saber qué paso a esa hora de ese día de ese mes. * snort: es una maravilla, pero consume mucha máquina. Además, su curva de aprendizaje es muy alta. Supongo que es dónde acabaré... pero de momento queda "grande. * iptraf: me encanta y además puedes lanzarlo en modo daemon. De hecho tengo un medio script por ahí. Podría ser una posibilidad. * ethereal: otra vez con el tema del volcado en base de datos. Al final me quedo con tcpdump que, realmente es un coñazo depende cómo lo mires; en todo caso siempre puedes crear filtros para no monitorizar lo que va a ocupar gran parte de la red (http, dns...) Lo que busco realmente es un sencillo monitor de red que me cree un registro diario completo (aunque no hace falta web, pues lo controlo mediante squid/ SARG), lo volque en bbdd y pueda visualizarse cómodamente en formato logsurfer, swatch y tipo así. Ah, se me olvidaba. También probé nagios, pero al igual que snort creo que es demasiado grande para lo que requiero; además de estar orientado a tareas diferentes. No sé, de momento lo he solventado con tcpdump, 4 filtros y un poco de shell-scripting.... ¿alguna idea? :D -- ¡Share your knowledge! Linux user id 332494 # http://counter.li.org/ PGP id 0xC5ABA76A # http://pgp.mit.edu/