Logwatchについて

このスレッドはクローズされています。記事の閲覧のみとなります。

Logwatchについて

æ¥æï¼ 2009/12/08 15:45
ååï¼ hiyo

いつも当サイトを参考にさせて頂き感謝しております。先日（１週間ほど前） CentOS5のインストールとメールサーバー、ウエブサーバー等を立ち上げました。各サーバーは今のところ正常に動作しておりますが、毎日配信されて来るLogwatchの内容が初心者の私には分かりません。何か重要な内容が含まれていても見過ごしているかもしれません。例えば、 1.pam_unixの所でdovecotの認証拒否が128回も有ったのか？一応拒否しているので問題無しとするのか？（190.12.62.178は自サイトのIPではありません。） 2.postfixではテスト以外送信・受信したことも無いのに 151421 bytesも送信している？ 3.ConnectionsにUnmatched Entriesとして dovecot-auth: pam_succeed_if(dovecot:auth):・・・等と、たくさん、ゾロゾロ書き込まれています。もしかしてバックドアで踏み台になっているのか？それともlinuxを立ち上げて間もないのにそれは無いのでは？等と分からないばっかりに不安で一杯です。セキュリティ対策は当サイトを参考に設定しております。・http://kajuhome.com/server_access.shtml ・http://kajuhome.com/clam_antivirus.shtml wan->lanの開放ポートは、http、smtp、pop3だけです。 ssh、ftpはlan内のみ許可にしております。セキュリティに詳しい方初心者に分かるよう教えてください。よろしくお願いします。 --------------------- amavis Begin ------------------------ 5 messages checked and passed. **Unmatched Entries** (!!)WARN: all primary virus scanners failed, considering backups: 5 Time(s) Found decoder for .tar at /usr/bin/pax: 1 Time(s) Internal decoder for .zip : 1 Time(s) Found decoder for .F at /usr/bin/unfreeze: 1 Time(s) starting. /usr/sbin/amavisd at ******.******.net amavisd-new-2.6.4 (20090625), Unicode aware, LANG="ja_JP.UTF-8": 1 Time(s) Creating db in /var/amavis/db/; BerkeleyDB 0.36, libdb 4.3: 1 Time(s) Internal decoder for .tnef: 1 Time(s) Found decoder for .deb at /usr/bin/ar: 1 Time(s) Found decoder for .zoo at /usr/bin/zoo: 1 Time(s) ・・・ ---------------------- amavis End ------------------------- --------------------- pam_unix Begin ------------------------ dovecot: Authentication Failures: rhost=::ffff:190.12.62.178 : 128 Time(s) root: 9 Time(s) adm: 1 Time(s) apache: 1 Time(s) bin: 1 Time(s) clamav: 1 Time(s) ・・・ Unknown Entries: check pass; user unknown: 128 Time(s) ---------------------- pam_unix End ------------------------- --------------------- postfix Begin ------------------------ 151421 bytes transferred 90 messages sent 8 messages removed from queue Connections lost: Connection lost while CONNECT : 1 Time(s) Connection lost while END-OF-MESSAGE : 1 Time(s) ・・・ ---------------------- postfix End ------------------------- --------------------- Connections (secure-log) Begin ------------------------ Userhelper executed applications: ******* -> system-config-network as root: 1 Time(s) ******* -> pup as root: 1 Time(s) **Unmatched Entries** dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user staff dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user sales dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user recruit dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user alias dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user office ・・・ dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user workshop ---------------------- Connections (secure-log) End -------------------------

Page: [1] [2]

■ コンテンツ関連情報

Re: Logwatchについて ( No.1 )

æ¥æï¼ 2009/12/08 16:42
ååï¼ チコ

＞1.pam_unixの所でdovecotの認証拒否が128回も有ったのか？＞一応拒否しているので問題無しとするのか？＞（190.12.62.178は自サイトのIPではありません。）＞＞2.postfixではテスト以外送信・受信したことも無いのに＞ 151421 bytesも送信している？＞＞3.ConnectionsにUnmatched Entriesとして＞ dovecot-auth: pam_succeed_if(dovecot:auth):・・・＞等と、たくさん、ゾロゾロ書き込まれています。１と３はメッセージカテゴリは違うけど、dovecot認証に失敗したっていうログですね。手当たり次第に適当な名前でログイン(pop)していて、パスワードが違うからこのように出力されています。２は、smtpコマンド発行の時のpostfixが出力するメッセージ文字数も加算されただけで、実際には送信していないものだと思います。（helo・mail・rcpt・dataなどのコマンド）このメッセージで別にバックドアになっていないんで心配はいらないと思います。でもセキュリティは十分考慮は必要と思います。ちなみに、僕のサーバーもこのメッセージはマウスのホイールを回すのが嫌なくらい出てきますよ（笑）

Re: Logwatchについて ( No.2 )

æ¥æï¼ 2009/12/08 17:46
ååï¼ stranger
参照： http://ja.528p.com/

logwatchの設定で postfixだけDetail (詳細度) を上げてみるデフォルトの設定ファイルをコピーします（管理者権限で） cd /usr/share/logwatch cp default.conf/services/postfix.conf /etc/logwatch/conf/services /etc/logwatch/conf/services/postfix.conf を修正します省略 # Yes = True = On = 1 # No = False = Off = 0 Detail = 10 ←ここに設定を追加します Title = "postfix" 省略次のlogwatchからのメールでは詳細な報告がされると思うどこへでdeliver(配信)されたかローカル以外の解からないところへdeliverされていないか確認そうなっていたら、迷惑メールの踏台にされる可能性があります logwatchの報告も含めシステムのメール配信として postfixが使われるので、０にはならない

Re: Logwatchについて ( No.3 )

æ¥æï¼ 2009/12/08 18:16
ååï¼ hiyo

チコさんありがとうございます。この程度のことはどのサーバーでも有るということですね安心しました。ところで、当サイトはIPv6を使用しない設定になっておりますがもし、使用する設定にした時、不正侵入の可能性が高まるのでしょうか？特にIPv6の必要性が有るわけでもないのですが、 CTUのファイヤーウォールの設定の所で、 IPv4、IPv6、IPv4・IPv6の3通りの中から1つ選択する場合、私は分からないので「IPv4・IPv6」を選択しています。サーバーは使用していないのにIPv6を選択するのは間違っていますか？どこかのページを参考に設定しましたので自信がありません。 NTTに何度か問い合わせましたが明確な回答が得られませんでした。

Re: Logwatchについて ( No.4 )

æ¥æï¼ 2009/12/08 18:41
ååï¼ hiyo

strangerさんありがとうございます。そうなんですかメーラーに来る送信・受信メールだけではなかったのですね納得できました。 >postfixだけDetail (詳細度) を上げてみる早速やってみます。明日のlogwatchの内容で分からない事があれば宜しくお願いします。貴重な情報どうもありがとうございました。

Re: Logwatchについて ( No.5 )

æ¥æï¼ 2009/12/14 16:00
ååï¼ hiyo

>postfixだけDetail (詳細度) を上げてみる >ローカル以外の解からないところへdeliverされていないか確認 >そうなっていたら、迷惑メールの踏台にされる可能性があります早速、詳細度を上げ3日ほど見ていましたが、はっきり言って私には分かりません。下の postfix Begin は昨日分ですが、その内容の中に次の不明のアドレス(IP)が入っています。 1.dynamic.hinet.net 118.161.240.20 2.zz@mail2000.com.tw 3.hi7188s.pp5975@msa.hinet.net 4.zz@mail2000.com.tw 124.110.136.96 ローカル内でテストを含め2〜3回程度送受信した事は有りますが、メールは外部から、また外部へは一度もを出していません。ただ「reject」となっているので問題無しと判断してよろしいのでしょうか？アドバイスを頂けたら幸いです。宜しくお願いします。 --------------------- postfix Begin (detail=10) ------------------------ 493504 bytes transferred 264 messages sent 1 messages expired and returned to sender 6 messages removed from queue Top ten senders: 2 messages sent by: root (uid=0): Connections lost: Connection lost while RCPT : 1 Time(s) **Unmatched Entries** 1BEAB12180C1: sender non-delivery notification: 4A54B12180B4 NOQUEUE: reject: RCPT from 118-161-240-20.dynamic.hinet.net[118.161.240.20]: 554 5.7.1 <zz@mail2000.com.tw>: Relay access denied; from=<hi7188s.pp5975@msa.hinet.net> to=<zz@mail2000.com.tw> proto=SMTP helo=<124.110.136.96> ---------------------- postfix End -------------------------

Page: [1] [2]

■ その他

ページ先頭へ

Re: Logwatchについて ( No.1 )
æ¥æï¼ 2009/12/08 16:42 ååï¼ チコ＞1.pam_unixの所でdovecotの認証拒否が128回も有ったのか？＞一応拒否しているので問題無しとするのか？＞（190.12.62.178は自サイトのIPではありません。）＞＞2.postfixではテスト以外送信・受信したことも無いのに＞ 151421 bytesも送信している？＞＞3.ConnectionsにUnmatched Entriesとして＞ dovecot-auth: pam_succeed_if(dovecot:auth):・・・＞等と、たくさん、ゾロゾロ書き込まれています。１と３はメッセージカテゴリは違うけど、dovecot認証に失敗したっていうログですね。手当たり次第に適当な名前でログイン(pop)していて、パスワードが違うからこのように出力されています。２は、smtpコマンド発行の時のpostfixが出力するメッセージ文字数も加算されただけで、実際には送信していないものだと思います。（helo・mail・rcpt・dataなどのコマンド）このメッセージで別にバックドアになっていないんで心配はいらないと思います。でもセキュリティは十分考慮は必要と思います。ちなみに、僕のサーバーもこのメッセージはマウスのホイールを回すのが嫌なくらい出てきますよ（笑）
Re: Logwatchについて ( No.2 )
æ¥æï¼ 2009/12/08 17:46 ååï¼ stranger 参照： http://ja.528p.com/ logwatchの設定で postfixだけDetail (詳細度) を上げてみるデフォルトの設定ファイルをコピーします（管理者権限で） cd /usr/share/logwatch cp default.conf/services/postfix.conf /etc/logwatch/conf/services /etc/logwatch/conf/services/postfix.conf を修正します省略 # Yes = True = On = 1 # No = False = Off = 0 Detail = 10 ←ここに設定を追加します Title = "postfix" 省略次のlogwatchからのメールでは詳細な報告がされると思うどこへでdeliver(配信)されたかローカル以外の解からないところへdeliverされていないか確認そうなっていたら、迷惑メールの踏台にされる可能性があります logwatchの報告も含めシステムのメール配信として postfixが使われるので、０にはならない
Re: Logwatchについて ( No.3 )
æ¥æï¼ 2009/12/08 18:16 ååï¼ hiyo チコさんありがとうございます。この程度のことはどのサーバーでも有るということですね安心しました。ところで、当サイトはIPv6を使用しない設定になっておりますがもし、使用する設定にした時、不正侵入の可能性が高まるのでしょうか？特にIPv6の必要性が有るわけでもないのですが、 CTUのファイヤーウォールの設定の所で、 IPv4、IPv6、IPv4・IPv6の3通りの中から1つ選択する場合、私は分からないので「IPv4・IPv6」を選択しています。サーバーは使用していないのにIPv6を選択するのは間違っていますか？どこかのページを参考に設定しましたので自信がありません。 NTTに何度か問い合わせましたが明確な回答が得られませんでした。
Re: Logwatchについて ( No.4 )
æ¥æï¼ 2009/12/08 18:41 ååï¼ hiyo `strangerさんありがとうございます。そうなんですかメーラーに来る送信・受信メールだけではなかったのですね納得できました。 >postfixだけDetail (詳細度) を上げてみる早速やってみます。明日のlogwatchの内容で分からない事があれば宜しくお願いします。貴重な情報どうもありがとうございました。`
Re: Logwatchについて ( No.5 )
æ¥æï¼ 2009/12/14 16:00 ååï¼ hiyo >postfixだけDetail (詳細度) を上げてみる >ローカル以外の解からないところへdeliverされていないか確認 >そうなっていたら、迷惑メールの踏台にされる可能性があります早速、詳細度を上げ3日ほど見ていましたが、はっきり言って私には分かりません。下の postfix Begin は昨日分ですが、その内容の中に次の不明のアドレス(IP)が入っています。 1.dynamic.hinet.net 118.161.240.20 2.zz@mail2000.com.tw 3.hi7188s.pp5975@msa.hinet.net 4.zz@mail2000.com.tw 124.110.136.96 ローカル内でテストを含め2〜3回程度送受信した事は有りますが、メールは外部から、また外部へは一度もを出していません。ただ「reject」となっているので問題無しと判断してよろしいのでしょうか？アドバイスを頂けたら幸いです。宜しくお願いします。 --------------------- postfix Begin (detail=10) ------------------------ 493504 bytes transferred 264 messages sent 1 messages expired and returned to sender 6 messages removed from queue Top ten senders: 2 messages sent by: root (uid=0): Connections lost: Connection lost while RCPT : 1 Time(s) Unmatched Entries 1BEAB12180C1: sender non-delivery notification: 4A54B12180B4 NOQUEUE: reject: RCPT from 118-161-240-20.dynamic.hinet.net[118.161.240.20]: 554 5.7.1 <zz@mail2000.com.tw>: Relay access denied; from=<hi7188s.pp5975@msa.hinet.net> to=<zz@mail2000.com.tw> proto=SMTP helo=<124.110.136.96> ---------------------- postfix End -------------------------