このスレッドはクローズされています。記事の閲覧のみとなります。
 swatchについて |
 |
- æ¥æï¼ 2005/10/07 15:36
- ååï¼ remind
- どなたかswatchを導入にて侵入検知を実施されているかたは、いらしゃいませんでしょうか?
swatchを導入して監視を行おうと思っています。
まったく初心者で、いまいち理解できないのですが何かアドバイスをいただきたく願います。
よろしくお願いします。
|
■ コンテンツ関連情報
 Re: swatchについて ( No.6 ) |
|
- æ¥æï¼ 2005/10/10 15:42
- ååï¼ 管理者
- swatch自体の設定では不可能です。
swatchは指定したファイル(ログファイル)から文字列のマッチングを行って設定した動作を行います。
もし、そのような事を行いたければ、ログファイルに出力されるようにしなければなりません。
ftpログであれば、パーミッションにアクセス権のない部分へアクセスした場合はログに出力されますが、通常のログイン(telnetやssh等)ではログ出力されなかったと思います。
仮に出来たとしても、ログインした時のプロセスIDを何らかの形で取得し、アクセス不正時にexecで通常のコマンド"kill"でプロセスを落とせばセッションを切断する事が可能でしょう。
どちらにしても、何らかのカスタマイズが必要と思われます。
監査するよりも、アクセス範囲を束縛する方が無難でしょう。
|
| Re: swatchについて ( No.7 ) |
|
- æ¥æï¼ 2005/10/11 04:06
- ååï¼ Johann
- 参照: http://www.geocities.co.jp/SiliconValley-Sunnyvale/1839/index.html
- 以前、/var/log/secureをswatchに監視させて、
最新20行の中に5回、特定のIPが出現したらiptablesへ放り込むなんて
ことをやっていたことがあります。
どこからでもSSHアクセスさせるかわりにでたらめなユーザー名やパスワードを
乱射したらアクセス禁止をかける仕組みです。
最近では鍵認証に切り替えたことと、会社と自宅以外からアクセスする必要が
無くなったのでtcpwrapperに切り替えましたが。。
|
| Re: swatchについて ( No.8 ) |
|
- æ¥æï¼ 2005/10/13 11:25
- ååï¼ remind
- 色々とありがとうございました。
今回のアドバイスを元に頑張ってみます。
|
■ その他
