tachtler:arpwatch_archlinux
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
tachtler:arpwatch_archlinux [2021/09/19 09:44] – [Dienst: arpwatch@[interface].service einrichten] klaus | tachtler:arpwatch_archlinux [2022/03/31 05:35] (aktuell) – [Installation] klaus | ||
---|---|---|---|
Zeile 6: | Zeile 6: | ||
| Homepage | | Homepage | ||
| Dokumentation | | Dokumentation | ||
+ | ===== Funktionsweise ===== | ||
+ | |||
+ | Folgende Ereignisse werden von ARPwatch überwacht: | ||
+ | |||
+ | ^ Ereignis | ||
+ | | new activity | ||
+ | | new station | ||
+ | | flip flop | Die Ethernet Adresse hat sich zu einer schon mal verwendeten Ethernet Adresse geändert | ||
+ | | changed ethernet address | ||
+ | |||
+ | Folgende '' | ||
+ | |||
+ | ^ Nachricht | ||
+ | | ethernet broadcast | ||
+ | | ip broadcast | ||
+ | | bogon | Die Quell-IP-Adresse ist keine Adresse eines lokalen '' | ||
+ | | ethernet broadcast | ||
+ | | ethernet mismatch | ||
+ | | reused old ethernet address | Die Ethernet Adresse wurde in eine bereits vorher oder weit vorher gesehene Adresse geändert | ||
+ | | suppreddes DECnet flip flop | Ein "flip flop" Report wurde ausgelöst da eine der beiden gesehenen Adressen eine DECnet Addresse ist | | ||
+ | |||
+ | :!: **HINWEIS** - Informationen zu DECnet-Adressen sind hier zu finden [[http:// | ||
===== Installation ===== | ===== Installation ===== | ||
Zeile 22: | Zeile 44: | ||
Folgender Befehl ist zur Installation auszuführen: | Folgender Befehl ist zur Installation auszuführen: | ||
+ | < | ||
+ | # pacman -S arpwatch | ||
+ | </ | ||
+ | ++++ Installationsverlauf | | ||
< | < | ||
# pacman -S arpwatch | # pacman -S arpwatch | ||
Zeile 76: | Zeile 102: | ||
==> root: 27 | ==> root: 27 | ||
</ | </ | ||
+ | ++++ | ||
Mit nachfolgendem Befehl kann überprüft werden, was der Inhalt des Pakets '' | Mit nachfolgendem Befehl kann überprüft werden, was der Inhalt des Pakets '' | ||
+ | < | ||
+ | # pacman -Qil arpwatch | ||
+ | </ | ||
+ | ++++ Installierte Dateien | | ||
< | < | ||
# pacman -Qil arpwatch | # pacman -Qil arpwatch | ||
Zeile 123: | Zeile 154: | ||
arpwatch / | arpwatch / | ||
</ | </ | ||
+ | ++++ | ||
===== Konfiguration ===== | ===== Konfiguration ===== | ||
Zeile 144: | Zeile 176: | ||
# Tachtler | # Tachtler | ||
# default: After=network.target | # default: After=network.target | ||
- | After=network.target postfix.service | + | After=network.target network-online.target postfix.service |
+ | # Tachtler - new - | ||
+ | Wants=network-online.target | ||
[Service] | [Service] | ||
Zeile 162: | Zeile 196: | ||
Nachfolgende Parameter wurden zum Aufruf von ''/ | Nachfolgende Parameter wurden zum Aufruf von ''/ | ||
- | * <code ini> | + | * <code ini> |
+ | Wants=network-online.target | ||
+ | </ | ||
- | Der Service soll nicht nur nach dem Start des Netzwerkes, sondern auch erst nach dem Start des Dienstes [[http:// | + | Der Service soll nicht nur nach dem Start des Netzwerkes, sondern auch erst nach dem das Netzwerk ativ ist und nach dem Start des Dienstes [[http:// |
* <code ini>-D / | * <code ini>-D / | ||
Zeile 190: | Zeile 226: | ||
===== ARPwatch starten ===== | ===== ARPwatch starten ===== | ||
- | |||
- | ==== Dienst: arpwatch@[interface].service einrichten ==== | ||
- | |||
- | Um das Starten von [[https:// | ||
- | < | ||
- | # systemctl enable arpwatch@eth0.service | ||
- | Created symlink / | ||
- | </ | ||
- | Bei **__mehreren__ Netzwerk-Interfaces** muss der Befehl pro Interface einfach wiederholt werden, wie nachfolgend dargestellt: | ||
- | < | ||
- | # systemctl enable arpwatch@eth1.service | ||
- | Created symlink / | ||
- | </ | ||
- | |||
- | Ein Überprüfung, | ||
- | < | ||
- | # systemctl --state=loaded | grep arpwatch@ | ||
- | arpwatch@eth0.service | ||
- | arpwatch@eth1.service | ||
- | </ | ||
- | bzw. | ||
- | < | ||
- | # systemctl is-enabled arpwatch@eth0.service | ||
- | enabled | ||
- | </ | ||
- | und bei **__mehreren__ Netzwerk-Interfaces** muss der Befehl pro Interface einfach wiederholt werden, wie nachfolgend dargestellt: | ||
- | < | ||
- | # systemctl is-enabled arpwatch@eth1.service | ||
- | enabled | ||
- | </ | ||
==== Dienst: postfix.service einrichten ==== | ==== Dienst: postfix.service einrichten ==== | ||
+ | |||
+ | :!: **WICHTIG** - **Auf die Konfiguration von [[http:// | ||
Bevor [[https:// | Bevor [[https:// | ||
Falls dies nicht der Fall sein sollte, muss dies ebenfalls noch wie folgt eingerichtet werden, was mit nachfolgenden Befehlen erfolgen kann | Falls dies nicht der Fall sein sollte, muss dies ebenfalls noch wie folgt eingerichtet werden, was mit nachfolgenden Befehlen erfolgen kann | ||
- | |||
- | :!: **WICHTIG** - **Auf die Konfiguration von [[http:// | ||
Um das Starten von [[http:// | Um das Starten von [[http:// | ||
Zeile 283: | Zeile 289: | ||
Sep 19 09:33:16 server postfix/ | Sep 19 09:33:16 server postfix/ | ||
Sep 19 09:33:16 server systemd[1]: Started Postfix Mail Transport Agent. | Sep 19 09:33:16 server systemd[1]: Started Postfix Mail Transport Agent. | ||
+ | </ | ||
+ | |||
+ | ==== Dienst: arpwatch@[interface].service einrichten ==== | ||
+ | |||
+ | Um das Starten von [[https:// | ||
+ | < | ||
+ | # systemctl enable arpwatch@eth0.service | ||
+ | Created symlink / | ||
+ | </ | ||
+ | Bei **__mehreren__ Netzwerk-Interfaces** muss der Befehl pro Interface einfach wiederholt werden, wie nachfolgend dargestellt: | ||
+ | < | ||
+ | # systemctl enable arpwatch@eth1.service | ||
+ | Created symlink / | ||
+ | </ | ||
+ | |||
+ | Ein Überprüfung, | ||
+ | < | ||
+ | # systemctl --state=loaded | grep arpwatch@ | ||
+ | arpwatch@eth0.service | ||
+ | arpwatch@eth1.service | ||
+ | </ | ||
+ | bzw. | ||
+ | < | ||
+ | # systemctl is-enabled arpwatch@eth0.service | ||
+ | enabled | ||
+ | </ | ||
+ | und bei **__mehreren__ Netzwerk-Interfaces** muss der Befehl pro Interface einfach wiederholt werden, wie nachfolgend dargestellt: | ||
+ | < | ||
+ | # systemctl is-enabled arpwatch@eth1.service | ||
+ | enabled | ||
</ | </ | ||
Zeile 345: | Zeile 381: | ||
Sep 19 09:41:54 server systemd[1]: Started Watch ARP on interface eth1. | Sep 19 09:41:54 server systemd[1]: Started Watch ARP on interface eth1. | ||
Sep 19 09:41:54 server arpwatch[64363]: | Sep 19 09:41:54 server arpwatch[64363]: | ||
+ | </ | ||
+ | |||
+ | ===== ARPWatch überprüfen ===== | ||
+ | |||
+ | ==== ARPWatch: / | ||
+ | |||
+ | In der Datei, hier z.B. | ||
+ | * ''/ | ||
+ | * ''/ | ||
+ | werden standardmäßig alle Ethernet-MAC/ | ||
+ | <code ini> | ||
+ | 52: | ||
+ | 52: | ||
+ | </ | ||
+ | |||
+ | ==== ARPwatch: E-Mail ==== | ||
+ | |||
+ | Ein e-Mail-Benachrichtigung könnte wie folgt aussehen: | ||
+ | < | ||
+ | Date: Sun, 19 Sep 2021 09:47:35 +0200 (CEST) | ||
+ | From: arpwatch@tachtler.net (Arpwatch) | ||
+ | To: root@tachtler.net | ||
+ | Subject: new station (server.tachtler.net) | ||
+ | |||
+ | hostname: server.tachtler.net | ||
+ | ip address: 192.168.0.10 | ||
+ | ethernet address: 52: | ||
+ | | ||
+ | | ||
+ | </ | ||
+ | |||
+ | ==== ARPwatch: journald ==== | ||
+ | |||
+ | Meldungen im '' | ||
+ | < | ||
+ | # journalctl -u arpwatch* | ||
+ | ... | ||
+ | Sep 19 09:53:01 server arpwatch[64341]: | ||
+ | Sep 19 09:53:01 server arpwatch[64341]: | ||
</ | </ | ||
tachtler/arpwatch_archlinux.1632037495.txt.gz · Zuletzt geändert: 2021/09/19 09:44 von klaus