| 無料ホームページスペース無料メールアドレスをご提供します。 KANSAI WEBサービス会員規約 |
 kansai.homelinux.com |
| コンピュータ/通信総合サイト・広島の関西商事 管理人:大内 雅司 |
| 無料ホームページスペース無料メールアドレスをご提供します。 KANSAI WEBサービス会員規約 |
| kansai.homelinux.com |
| コンピュータ/通信総合サイト・広島の関西商事 管理人:大内 雅司 |
ログを毎日チェックしよう
システムやサーバー・ソフトウェアの稼動状況を記録する「ログ」からは、さまざまなセキュリティ対策上の情報を得ることができます。
ここでは、ログのチェックについて簡単に説明いたします。
★Fedora Coreのログ
Fedora Coreでは、”/var/log”ディレクトリ以下に、様々なログ・ファイルが存在し、それらにログが記録されるようになっています。ログとは、システムやサーバー・ソフトウェアの稼動状況を知らせるために出力される情報です。このログをチェックすることがサーバー管理の基本となります。
”/var/log”ディレクトリにあるログ・ファイルにはすべて目を通すべきですが、ログ・ファイルは多数あります。まずは手始めに、セキュリティ上重要度が高い「secure」、「lastlog」、「messages」の3つのログ・ファイルを確実にチェックするようにしましょう。
■secureログ
”/var/log/secure”ふぁいるには、セキュリティ上注意すべきユーザー行動履歴が記録されています。
このファイルを調べれば、「SSH」をつかった「リモート・ログイン」がいつどこからあったかなどを調べることができます。
例えば、次のログでは、nakamuraというユーザーが繰り返しログインに失敗していることがわかります。
| Nov 23 12:13:40 localhost sshd[26585]: Failed
password nakamura from 192.168.0.3
port 35712
ssh2 Nov 23 12:13:40 localhost sshd[26585]: Accepted password for nakamura from 192.168.0.3 port 35712 ssh2 Nov 23 12:13:40 localhost sshd[26585]: faital PAM session setup failed[6]:Permission denied Nov 23 12:13:40 localhost sshd[26585]: Accepted password for nakamura from 192.168.0.3 port 35713 ssh2 Nov 23 12:13:40 localhost sshd[26585]: faital PAM session setup failed[6]:Permission denied Nov 23 12:13:40 localhost sshd[26585]: Failed password nakamura from 192.168.0.3 port 35714 ssh2 Nov 23 12:13:40 localhost sshd[26585]: Accepted password for nakamura from 192.168.0.3 port 35714 ssh2 Nov 23 12:13:40 localhost sshd[26585]: faital PAM session setup failed[6]:Permission denied Nov 23 12:13:40 localhost sshd[26585]: Accepted password for nakamura from 192.168.0.3 port 35750 ssh2 |
このような行動はただちに危険を示すものではありませんが、リモートからクラッカーがパスワード試行による不正ログインを試みた可能性もありますので注意が必要になります。
■lastlogログ
”/var/log/lastlog”ファイルには、システムへのログイン履歴が記録されます。ただしこのファイルは他のログ・ファイルとは異なり、バイナリ形式で情報が格納されますので、「less」コマンドなどで直接このファイルを参照しても内容が分かりにくくなっています。このファイルの情報を参照する専用の「last」コマンドが用意されていますので、それを利用しましょう。
GNOME端末などのターミナル・ソフトを起動して、「last」コマンドを実行してみましょう。
| [root@linux ~]# last | lv [enter] |
これにより、誰がどこからログインしているか、現在もログイン中であるか、システムを再起動したのがいつかなどの情報を得ることができます。
※通常考えられない場所や時間にログインがあった場合には、不正ログインの可能性が考えられます。
| nakamura pts/4 momoko.localdoma Thu
Nov 11 14:46 still logged in nakamura pts/0 momoko.localdoma Thu Nov 11 12:49 - 12:57 (00:08) nakamura pts/3 doremi.localdoma Thu Nov 11 07:22 still logged in nakamura pts/3 doremi.localdoma WedNov 10 18:18 - 22:48 (04:30) root tty1 Wed Nov 3 08:46 still logged in nakamura pts/0 doremi.localdoma Wed Nov 3 08:44 - 08:45 (00:01) reboot system boot 2.4.23 Wed Nov 3 08:43 (8+06:07) nakamura pts/4 doremi.localdoma Wed Nov 3 08:40 - down (00:02) reboot system boot 2.4.23 Wed Nov 3 08:39 (00:02) nakamura pts/0 doremi.localdoma Wed Nov 3 08:25 - down (00:13) reboot system boot 2.4.23 Wed Nov 3 08:24 (00:13) nakamura pts/0 doremi.localdoma Wed Nov 3 08:21 - down (00:02) reboot system boot 2.4.23 Wed Nov 3 08:20 (00:13 titanium pts/0 onpu.localdoma Wed Nov 3 01:49 - down (06:04) nakamura pts/0 momoko.localdoma Thu Nov 2 18:21 -18:21 (00:00) nakamura pts/0 doremi.localdoma Mon Nov 1 05:42 - 05:42 (00:00) |
■messagesログ
”/var/log/messages”ファイルには、システムやサーバー全般のログが記録されます。セキュリティに限らず、ハードウェアの認識やサーバーの稼動状況など、様々な情報を得ることができます。
例えば、次に挙げる”message”ログからは、メモリが不足したため、いくつかのプロセスを強制終了させたことが分かります。これは安定したサービス提供の観点からは重大な問題です。
停止したプロセスがサービス提供に関係するものであれば、サービスが強制終了しますので、「Dos」攻撃を受けたのと変わらない結果となるからです。
もちろん、メモリーが不足するようならばスワップが多発しますので、システム処理性能も大きく低下します。速やかにメモリーを増設する必要があります。
また、十分なメモリーを搭載しているのにこのようなログが記録される場合は、サーバーへのアクセスを急増させる手口の「Dos」攻撃を受けた可能性もあります。
▼メモリーが不足したことを示すログの例
| Nov 11 15:04:37 localhost sshd(pam_unix)[1689]:session
opened for user nakamura by (uid=500) Nov 11 15:04:41 localhost 12Σ0 11 15:04:41 su(pam_unix)[1706]:session opened for root by nakanura (uid=500) Mov 11 15:08:28 localhost kernel:Out of Memory:Killed process 1737 Mov 11 15:09:53 localhost kernel:Out of Memory:Killed process 1747 |
以上に挙げたものは、システム全般で利用するログですが、サーバー・ソフトウェアごとに独立したログ・ファイルを利用するものもあります。
例えば、Webサーバーは、”/var/log/httpd”ディレクトリ以下にある、「access_log」、「error_log」、「ssl_addess_log」、「ssl_err_log」、「ssl_request_log」といったファイルログを書き出します。「SSL」を利用していない場合には参照する必要はありません。
一般的には「access_log」と「error_log」を参照します。
例えばこれらに、「404 File Not Found」というようなエラー・メッセージを返したというログが繰り返し残っているようならば、Webサーバーが攻撃を受けている可能性があります。
また、バッファ・オーバーフローを使った不正侵入をするために、長い文字列を送りつけていることを示すログが記録されることもしばしばあります。
次に示すのは猛威をふるった「Code Red」というワームが侵入を試みて送り付ける文字列の例です。
▼Code Redが侵入を試みたログ
| 192.168.0.234-- [10/Nov/2004:20:41:25 +0900]
"GET /default.da?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u78 01%u9090%u6958%ucbd3%u7801%u9090%u6958%ucbd3%u7801%u9090%u9090%u8190%u00c 3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 654 |
ただしCode Redは「WindowsのllS」というサーバーを標的にしたワームですので、このログがLinuxのサーバーに残っていたからといって、すぐに不正侵入を懸念する必要はありません。
■メール・サーバーのログ・ファイル
メール・サーバーは”/var/log/maillog”というログ・ファイルに記録を残します。
メール・サーバーにおいてもバッファ・オーバーフロー攻撃が試みられることもありますので、それについて注意が必要です。
さらにメール・サーバーの場合は、不正な第3者中継が行われていないかをチェックする必要もあります。
ログ・ファイルを「Relay」という文字列で検索し、次のようにきちんとリレーが否定されていることを確認しましょう。
▼メールの第3者中継を拒否したログの例
| Nov 10 15:38:58 onpu postfix/smtpd[15003]:reject:
RCPT from sw74-63- 50.adsl.seed.net.tw[211.74.63.50]:554 <sogiant.service@msa.hinett.net>:Recipient address rejecte: Relay access denide; from=<97dtrdt2200@ms58.hinet.net> to=<sogiant.service@msa.hinet.net> |
サーバーを稼動させていると、毎日膨大な量のログがきろくされます。
そのため、ここに挙げたログ・ファイルをチェックするだけでも大変な作業になります。
最初こそ大変ですが、ある程度慣れてくると通常のログの状態がどのようなもんか分かってきます。
こうなると、ざっとログを見ただけで異常な個所が判別できるようになりますので、ログチェックにかかる時間は大幅に短くなります。
(最後に)ログをチェックする習慣をつけましょう!!
インターネットでは「Tripwire」のようなログの自動チェック・ソフトウェアも配布されていますが、まずは自分で「生ログ」を見て、ログについての皮膚感覚を養うようにしてください。
ログの実際の状況を理解できれば、自動チェック・ソフトウェアも高度に使いこなせるようになるはずです。
| copy right kansai-syoji,.co all right reserved Web-Master masashi ouchi http://kansai.homelinux.com/~Linux |