IP wird aus unbekannter Quelle auf lo gesetzt.

[shub]

Ahoi hoi und guten Morgen

Wir sitzen hier gerade auf einem sehr merkwürdigen Problem rum.

Folgendes ist der Fall:

Wenn unser Debian Server fertig gebootet hat, hat unser lo Interface eine globale IP die zwar auch von uns ist, aber auf dem Testsystem verwendet wird.
Wir haben mit grep schon fast das ganze FS durchgesucht und nirgends ist die IP, die das lo interface bekommt eingetragen.
Alle Network Configs sind sauber.

Jetzt will ich rausfinden, welches Programm die IP auf lo setzt.
Nur habe ich keinen Plan wie man rausfinden kann, welches Programm oder Script eine IP setzt.
Wie ist es möglich herauszufinden woher ein Interface seine IP herbekommt?

Kann mir da jemand einen guten Tipp geben?

Ich grüsse Euch

[Livingston]

Das ist in der Tat beunruhigend. Im Prinzip kann man mit ifconfig oder ip aus iproute2 jedem Interface neue Werte zuweisen, aber mir ist kein Paket aus Debian bekannt, dass das ohne weiteres Zutun von sich aus macht.
Auch Init-Skripte aus systemd oder sysv-rc machen sowas nicht - das gehört sich einfach nicht.
Bleibt nur zu hoffen, dass sich ein Sysadmin bei euch heftig vertan hat, ansonsten würde ich von einem kompromitierten System ausgehen.

Mit

Code: Alles auswählen

# dmesg -H

mal schauen, was beim Booten passiert, wäre mein erster Ansatz, um dem auf die Schliche zu kommen.

Ergänzung: Systemlog durchforsten mit

Code: Alles auswählen

# journalctl -b

[mat6937]

Alle Network Configs sind sauber.

Jetzt will ich rausfinden, welches Programm die IP auf lo setzt.

Wie sind die Ausgaben von:

Code: Alles auswählen

ip a
ip n s
systemctl status systemd-networkd dhcpcd networking ifupdown-pre
cat /etc/network/interafces
ls -la /etc/network/interfaces.d
ls -la /etc/systemd/network
networkctl status

?