アクセスログ監視iplogの設定
iplogは、インストールしたサーバーへのアクセス情報を記録するソフトで、
- TCP/UDP/ICMPのトラフィックを記録
- TCPによるポートスキャンの検出
- UDPによるポートスキャンの検出
を行う。この内容については、以下に示すように /etc/iplog.rules で設定できる。
○インストール
Turbolinux Server7では iplog-2.1.1-4.i586.rpm が当初からインストールされているので、これを起動するだけで良い。
#/etc/rc.d/init.d/iplog start
で /etc/iplog.rules で規定した内容のログを /var/log/message に吐き出してくれる。
ただし、初期状態では全てのアクセスを記録する設定となっており、 httpd や DNS からのスキャンも記録されてしまう。
内部端末からProxyへのアクセス
Jun 1 21:49:15 fmv iplog[2025]: TCP: http connection attempt from 192.168.0.5:1321
Jun 1 21:49:15 fmv iplog[2025]: TCP: http connection attempt from 192.168.0.5:1322
Jun 1 21:49:15 fmv iplog[2025]: TCP: http connection attempt from 192.168.0.5:1322
YahooBBからのスキャンの例
Jun 1 22:07:45 fmv iplog[2092]: UDP: dgram to port 1024 from dns15.bbtec.net:53 (230 data bytes)
Jun 1 22:07:45 fmv iplog[2092]: UDP: dgram to port 1026 from dns15.bbtec.net:53 (145 data bytes)
そこで、 /etc/iplog.rules を編集して取りあえず問題のないログを記録されないようにする。
コメントマーク # の削除とURLの修正
ignore udp from dns15.bbtec.net sport 53
コメントマーク # の削除
ignore tcp dport 80
後は、運用しながら不必要なログを削除するよう修正する。
○異常メッセージのメール転送
TurbolinuxServer7では、/var/log/message に吐き出されたメッセージを logrptate というプログラムが1時間毎に内容をチェックして、異常なものがあればそれを root などにメールする構造になっている。
この仕組みを利用して、 root に来たメールを通常管理者が使っているメールアドレスに転送しておけば、確実に監視できる。
その方法は、
#vi /root/.forwardで
/root/.forward
--------------------
abcde@XXXXX.or.jp
とすれば、OKである。 iplog 以外でも異常があれば、1時間間隔でメールが来る。
○その他
異常アクセスの監視用には、セグメント全体を見る snort などがあり、Nimda などのウィルスも検出できるが、重たいということもあるので、サーバーの性格によっては、軽快な iplog でも十分なケースもあるように思われる。
前ページ