Acces disque dur à 23h00 tous les soirs sur MNF

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Acces disque dur à 23h00 tous les soirs sur MNF

Messagepar camegave » 29 Mars 2005 10:39

Bonjour,
Ca doit faire pas loin de 9 mois que j'ai une MNf qui tourne sur une machine dédié.
Depuis une 15 de jours vers 23h00-15 j'ai le disque dur qui s'affole. Comme si il faisait un defrag. Je sais pas ou chercher pour voir ce qui ce passe.
Quelqu'un a déjà eu ce pb ??
camegave
Quartier Maître
Quartier Maître
 
Messages: 24
Inscrit le: 24 Juil 2004 00:18

Messagepar Gandalf » 29 Mars 2005 10:52

Rien dans /var/log/message ?
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar camegave » 29 Mars 2005 11:05

je regarderais ce soir en rentrant pour voir ce qu'il y a .
Un truc que je dois chercehr en particulier ???
camegave
Quartier Maître
Quartier Maître
 
Messages: 24
Inscrit le: 24 Juil 2004 00:18

Messagepar Gandalf » 29 Mars 2005 11:37

Non, mais si ce soir à 23 H c'est le même cirque, regarde ce fichier il doit contenir les traces de ce ton MNF a fabriqué !
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar camegave » 29 Mars 2005 21:13

voilà ce que je retrouve constamment dans var/log/messages

Feb 29 00:41:00 firewall CROND[27175]: (root) CMD ( /usr/share/msec/promisc_check.sh)
Feb 29 00:42:00 firewall CROND[27184]: (root) CMD ( /usr/share/msec/promisc_check.sh)
Feb 29 00:43:00 firewall CROND[27193]: (root) CMD ( /usr/share/msec/promisc_check.sh)
Feb 29 00:44:00 firewall CROND[27202]: (root) CMD ( /usr/share/msec/promisc_check.sh)
Feb 29 00:45:00 firewall CROND[27212]: (root) CMD ( /usr/share/msec/promisc_check.sh)
camegave
Quartier Maître
Quartier Maître
 
Messages: 24
Inscrit le: 24 Juil 2004 00:18

Messagepar iffefroi » 30 Mars 2005 08:40

Ce que je crois, mais il faudrait attendre confirmation de quelqu'un qui s'y connait plus,
c'est que c'est normal.
J'ai les mêmes cron qui tournent toutes les minutes tous le temps 24h/24 sur mon MNF.
Je pense que c'est un cron qui vérifie si il y a quelqu'un qui sniffe les cartes réseaux dont on dispose.
Imagine que tu fais du IPSec pour sécurisé un trafic, si quelqu'un arrive à sniffer l'interface ipsec0, il lira toutes les données 'confidentielles'. Et ça c'est pas bien.

Maintenant chez moi ca tourne toutes les minutes 24h/24 et pas uniquement à certaines heures, ce que tu devrais faire c'est vérifier si c'est pareil pour toi dans /var/log/cron/info (ou info.1.gz si tu t'es levé tard).
En tout cas ca ne devrait pas affoler ton disque dur pour autant. Je pense donc que ca vient de quelques choses d'autres.

Mais il faudrait la confirmation de quelqu'un qui s'y connait plus que moi

PS : :?: J'ai fait "crontab -l" en tant que root et il me dit que c'est vide, pourtant il doit bien y avoir quelques choses puisqu'il y a des cron qui tournent ?
-----------
Iffé froi
Avatar de l’utilisateur
iffefroi
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 23 Mars 2005 12:06
Localisation: Strasbourg

Messagepar Jacques- » 30 Mars 2005 09:01

Les tâches cron programmées pour le système sont celles qui sont dans /etc/cron.d et les répertoires daily, monthly, etc...
Le promisc_chk est normal toute les minutes, c'est un contrôle pour vérifier que tes cartes réseaux ne sont pas passées en mode promiscuité, c'est à dire utilisées par un sniffer pour analyser tout le trafic réseau et le remonter vers la couche supérieure même si le trafic n'est pas destiné à la carte.
On a d'ailleurs une alerte dans la minute qui suit la mise en service d'un IDS comme snort qui fait passer la carte dans ce mode.
Il y a aussi vers 3 heures du matin l'analyse du disque, des packages RPM pour vérifier que rien n'a été altéré depuis l'installation, et la génération des logs et de l'analyse des logs.
Vérifie que ta machine est bien à l'heure déjà, on a d'ailleurs changé d'heure ce week-end...
Ensuite, si tu n'es pas couché à 23h, lance des commandes ps -edfwwwwww (plein de w pour voir le nom des tâches en détail) de temps en temps pour essayer de voir quelles sont celles qui sont actives à ce moment.

Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar camegave » 30 Mars 2005 09:35

Merci Jacques, en fait mon pc n'etait pas du tout à l'heure . en fait ca correspond à 3h du mat donc c'est bien ce que tu dis.
camegave
Quartier Maître
Quartier Maître
 
Messages: 24
Inscrit le: 24 Juil 2004 00:18


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité