さくらのVPSを使ってみる【13】-不正アクセスを確認する

1月 31st, 2012 カテゴリー さくら VPS

1)syslog.confを確認


Linuxでは、主なログの出力先は/var/logディレクトリですが、ここには複数のファイルが存在します。
この設定を行うファイルが/etc/syslog.confです

まずは、自分のサーバーのsyslog.confの内容を確認します。
設定ファイルは別途コマンドラインで指定されない限り/etc/syslog.confです。

cat /etc/syslog.conf


#syslog.conf

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
# 一般的なシステムに関する情報
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
# 認証関連を/var/log/secureに記録する
authpriv.*                                              /var/log/secure

# Log all the mail messages in one place.
# メール関連のログを/var/log/maillogに記録する
mail.*                                                  -/var/log/maillog

# Log cron stuff
# cron関連のログを/var/log/maillogに記録する
cron.*                                                  /var/log/cron

# Everybody gets emergency messages
*.emerg                                                 *

# Save news errors of level crit and higher in a special file.
# 印刷やニュースに関する情報
uucp,news.crit                                          /var/log/spooler

# Save boot messages also to boot.log
# OS起動時に関する情報
local7.*                                                /var/log/boot.log



2)/var/log/messages、/var/log/secureを確認



sshによる接続エラーや、rootにsuしたユーザなどを確認するのに
最低限チェックが必要なlogファイルは以下です。
/var/log/messages:プログラムの動作ログ
/var/log/secure:ユーザ認証関連のログ


ちなみに、ssh のログインに失敗/成功したユーザ数は以下の様なコマンド等でカウントできます。
# grep -c invalid /var/log/secure
# grep -c Failed /var/log/secure
# grep -c Accepted /var/log/secure




3)ログローテーションの設定(おまけ)


ログは特定のログファイルに永遠にログを書き込んでいくわけにはいきません。それは、ログファイルのデータが多くなればディスク容量を圧迫しますし、ログを確認しようとすると時間やCPUへの負担が大きくなるからです。これを回避するために、「logrotate」というプログラムを利用します。logrotateは指定されたタイミングでログファイルのバックアップを取り、新しいログファイルを作成してログのローテーションを行います。

logrotateの設定は、
/etc/logrotate.conf

/etc/logrotate.d
ディレクトリにある各設定ファイルで行います。


それでは実際に「logrotate.conf」をみてみます。

cat /etc/logrotate.conf

# 毎週ファイルの置き換えを行う(monthly、dailyも指定可)
weekly

# keep 4 weeks worth of backlogs
# 4世代分のファイルを保存
rotate 4

# create new (empty) log files after rotating old ones
# ファイルの置き換え後、新しいログファイルを作成
create

# uncomment this if you want your log files compressed
# 圧縮する(デフォルトは圧縮しない)
#compress

# RPM packages drop log rotation information into this directory
# 各ログの詳細設定ファイルは/etc/logrotate.d
include /etc/logrotate.d

# no packages own wtmp -- we'll rotate them here
# wtmpログファイルは、毎月1世代のみファイルを置き換え、所有者がroot、所有グループがutmpの新しいファイルを0664のパーミッションで作成する
/var/log/wtmp {
    monthly
    minsize 1M
    create 0664 root utmp
    rotate 1
}


例えば、1日のログのデータ量が非常に多い場合はweeklyではなくdailyに変更をすることで、1つのファイルのサイズを小さくできます。その場合、「rotate 4」では4日分しかログが残らないため、必要に応じて数字を大きくするなどの設定変更が必要です。


次は「logrotated.d」を確認します。


各ログファイルの設定は、/etc/logrotated.dディレクトリの設定ファイルで行います。

cat /etc/logrotate.d/syslog

# どのログファイルに関する設定かの記述
/var/log/messages /var/log/secure /var/log/maillog /var/log/spooler /var/log/boot.log /var/log/cron {
	# 複数のログファイルのローテーション後に、下の行の処理を1度だけ実行
	sharedscripts
	# endscriptまでの処理をローテーション終了後に実行
	postrotate
		# syslogdの動作中にファイルを移動すると、syslogdは出力すべきログファイルを見失ってしまうため、syslogdにHUPシグナルを送って設定を再読み込みさせている
		/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
		/bin/kill -HUP `cat /var/run/rsyslogd.pid 2> /dev/null` 2> /dev/null || true
	# コマンドの終了
	endscript
}

Sponsored Links

コメント

コメントする

  1. Factors crucial to the success of a franchise intranet platform.
    Here, you will get utmost data privacy and security. Furthermore, this
    communication must be made possible in not merely one or two languages
    but in multiple.

    Here is my webpage … 7-zip (http://Cristinetyuxwg.Soup.io/?sessid=82c43545d055eb758a468c81feade3d5)

  2. The best places to find free online games is of course,
    using an online search. Some titles are even available for
    tablets or cell phones. Often, this deters the visitor from playing causing them to
    leave the website disappointed.

    Check out my blog: crazy city taxi rush

コメントする

Eメールアドレスは公開されません。