Configuración de problemas de Knockd

1

Así que estoy ocupado configurando un servicio de knockd en una máquina virtual para habilitar el inicio de sesión SSH cuando la secuencia correcta de puertos se "toca" usando knockd y ufw.

El problema que tengo actualmente es que cuando se selecciona la secuencia correcta de puertos, user.rules for ufw no puede escribir la nueva regla en un archivo.

He intentado usar chmod 777 en todos los archivos dentro de / etc / ufw como prueba, sin embargo, el archivo aún no se puede escribir.

La salida para /etc/ufw/user.rules es la siguiente:

Jun 14 13:13:31 Pop knockd[4780]: WARN: /etc/ufw/after6.rules is world writable!
Jun 14 13:13:31 Pop knockd[4780]: WARN: /etc/ufw/after6.rules is group writable!
Jun 14 13:13:31 Pop knockd[4780]: WARN: /etc/ufw/user6.rules is world writable!
Jun 14 13:13:31 Pop knockd[4780]: WARN: /etc/ufw/user6.rules is group writable!
Jun 14 13:13:31 Pop knockd[4780]: WARN: /etc/ufw/applications.d is world writable!
Jun 14 13:13:31 Pop knockd[4780]: WARN: /etc/ufw/applications.d is group writable!
Jun 14 13:13:31 Pop knockd[4780]: WARN: /etc/ufw/user.rules is world writable!
Jun 14 13:13:31 Pop knockd[4780]: WARN: /etc/ufw/user.rules is group writable!
Jun 14 13:13:31 Pop knockd[4780]: ERROR: '/etc/ufw/user.rules' is not writable
Jun 14 13:13:31 Pop knockd[4780]: openSSH: command returned non-zero status code (1)

El archivo knockd se muestra en el bloque de código a continuación:

[options]
        logfile = /var/log/knockd.log

[openSSH]
        sequence    = 7000,8000,9000
        seq_timeout = 5
        command     = ufw allow 22/tcp
        tcpflags    = syn

[closeSSH]
        sequence    = 9000,8000,7000
        seq_timeout = 5
        command     = ufw delete allow 22/tcp
        tcpflags    = syn

La salida para / etc / default / knockd se muestra a continuación:

# control if we start knockd at init or not
# 1 = start
# anything else = don't start
# PLEASE EDIT /etc/knockd.conf BEFORE ENABLING
START_KNOCKD=1

# command line options
KNOCKD_OPTS="-i enp0s3"

Cualquier consejo sería muy apreciado.

    
pregunta Kyhle Ohlinger 14.06.2017 - 13:34
fuente

1 respuesta

1

En caso de que estés usando la desactivación de systemd (comentar o establecer explícitamente como desactivado) la directiva ProtectSystem en el archivo knockd.service (se encuentra en / lib / systemd / system / folder).

Si esto funciona, reinícialo y ponlo debajo

ReadWritePaths=-/etc/ufw/

ProtectSystem = montajes completos ro / usr, / boot y / etc para procesos invocados por la unidad, excluyendo los directorios especificados en ReadWritePaths.

Si se está ejecutando, antes de reiniciar el servicio, haga

systemctl daemon-reload
    
respondido por el konfou 18.08.2017 - 05:25
fuente

Lea otras preguntas en las etiquetas