swatchについて

このスレッドはクローズされています。記事の閲覧のみとなります。

swatchについて

æ¥æï¼ 2005/10/07 15:36
ååï¼ remind

どなたかswatchを導入にて侵入検知を実施されているかたは、いらしゃいませんでしょうか？ swatchを導入して監視を行おうと思っています。まったく初心者で、いまいち理解できないのですが何かアドバイスをいただきたく願います。よろしくお願いします。

Page: [1] [2]

■ コンテンツ関連情報

Re: swatchについて ( No.1 )

æ¥æï¼ 2005/10/07 16:39
ååï¼ 管理者

インストールまでは完了していますか？完了している事を前提で、簡単に説明するとswatchを実行するには、監視文字列を定義しなくてはいけません。監視文字列定義ファイルは、swatchを実行するユーザのホームパスに「.swatchrc」と言うファイルを作成します。この中のファイルの設定形式は、以下の様にします。 watchfor /監視する文字列の正規表現文字列/ 動作 A 動作 B ：：例をたとえると、suコマンドを発行し認証失敗した時にログに出力されるのは以下の様になります。 Oct 7 14:45:34 fedora su(pam_unix)[2483]: authentication failure; logname= uid=500 euid=0 tty=pts/1 ruser=linux rhost= user=root ちなみにvsftpでパスワードを間違える(認証失敗)した場合は、以下の様になります。 Oct 7 14:46:34 fedora vsftpd(pam_unix)[2214]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=192.168.1.121 ここで、どの文字を【監視】するかが重要になります。「authentication failure」が良さそうなのでこれを監視文字列としてみましょう。設定ファイルは以下の様になります。【watchfor /authentication failure/】動作は、監視に掛かった場合、以下の文字で動作します。表示するには「echo」音を鳴らすには「beep」プログラムを実行するには「exec」メール送信するには「mail」試しに、先程の条件で画面表示(強調表示)して、音を3回鳴らしてみるには以下の様にします。 watchfor /authentication failure/ echo bold beep 3 これだけです。それでは、監視実行してみます。 (今回はrootで実行するので、上記監視設定ファイルは「/root/.swatchrc」で作成しておいてください。なお、監視対象の認証失敗時に出力されるログファイルは「/var/log/messages」です。) # swatch -t /var/log/messages 画面上では以下の様になっていると思います。 [root@fedora ~]# swatch -t /var/log/messages *** swatch version 3.1.1 (pid:2522) started at 2005年 10月 7日金曜日 15:06:03 JST それでは、わざとsuしてみて、パスワードを間違えてみてください。画面には以下の様に出力され、音が3回鳴ったと思います。 [root@fedora ~]# swatch -t /var/log/messages *** swatch version 3.1.1 (pid:2522) started at 2005年 10月 7日金曜日 15:06:03 JST Oct 7 15:06:13 fedora su(pam_unix)[2526]: authentication failure; logname= uid=500 euid=0 tty=pts/1 ruser=linux rhost= user=root 同様に、vsftpでパスワード失敗してもログが出力され、音が鳴ります。

Re: swatchについて ( No.2 )

æ¥æï¼ 2005/10/07 16:45
ååï¼ 管理者

追記監視設定ファイルを変更する事も可能です。例)/root/swatch_su 実行方法 # swatch -c /root/swatch_su -t /var/log/messages

Re: swatchについて ( No.3 )

æ¥æï¼ 2005/10/07 22:49
ååï¼ remind

管理人さん、早速ご回答いただきありがとうございます。恥ずかしながら、まだインストールをしていないのですが、最近ポートアタックに会い、ファイルを改竄され情けないのですが、破壊されてしまいました。それでセキュリティについて調べていましたら、swatchとゆうのを発見しまして、妙な動きをするパケットを破棄できるとのことでしたので、導入をしてみようかと思い質問させていただきました。 swatchでなく他に何か良い物ががあればご提案いただきたいです。ひとまずswatchでとりくんでみようと思います。また何かありしたら質問させていただきます。

Re: swatchについて ( No.4 )

æ¥æï¼ 2005/10/08 07:02
ååï¼ 管理者

そうでしたか・・。それであれば、監視する前に防御が先ですね。どのポートでアタックされたのかが分かれば、手っ取り早いのですが、大抵の場合 telnet、ftp、ssh、dns(?)と思われます。最後のdnsは知人から聞いた話なので実際にどの様に改ざんされるのか不明です。 (恐らく、同期で出鱈目なIPにされると思われます。) まず、一般的には全てのポートを閉じてしまい必要なポートを開く様にします。いわゆるファイアウォール方式ですね。ルータ等を使用していれば、殆どポートの開閉機能があると思いますのでそちらを利用します。 (私はこちらを利用しています) ルータを使用していなければ(直接Linuxが外部と繋がっている場合)、iptablesと言う機能を利用します。この後は、当サイトで紹介している「セキュリティ強化」・「クライアントよりサーバを操作(◆◇セキュア◇◆)」をご参照下さい。その他、ポートを公開しているサービスなどは常時最新にアップデートを行ったり、今回のswtachを導入するなどが良いかも知れません。

Re: swatchについて ( No.5 )

æ¥æï¼ 2005/10/10 14:33
ååï¼ remind

swatchの設定で、たとえば相手にあるディレクトリへの許可のユーザネームとパスワードを教えて、そこ以外にいこうとしたり、何か不穏な動きをみせたら切断するみたいな設定は可能なのでしょうか？できないのであれば何かいい方法はないのもでしょうか？

Page: [1] [2]

■ その他

ページ先頭へ

swatchについて
æ¥æï¼ 2005/10/07 15:36 ååï¼ remind `どなたかswatchを導入にて侵入検知を実施されているかたは、いらしゃいませんでしょうか？ swatchを導入して監視を行おうと思っています。まったく初心者で、いまいち理解できないのですが何かアドバイスをいただきたく願います。よろしくお願いします。`

Re: swatchについて ( No.1 )
æ¥æï¼ 2005/10/07 16:39 ååï¼ 管理者インストールまでは完了していますか？完了している事を前提で、簡単に説明するとswatchを実行するには、監視文字列を定義しなくてはいけません。監視文字列定義ファイルは、swatchを実行するユーザのホームパスに「.swatchrc」と言うファイルを作成します。この中のファイルの設定形式は、以下の様にします。 watchfor /監視する文字列の正規表現文字列/ 動作 A 動作 B ：：例をたとえると、suコマンドを発行し認証失敗した時にログに出力されるのは以下の様になります。 Oct 7 14:45:34 fedora su(pam_unix)[2483]: authentication failure; logname= uid=500 euid=0 tty=pts/1 ruser=linux rhost= user=root ちなみにvsftpでパスワードを間違える(認証失敗)した場合は、以下の様になります。 Oct 7 14:46:34 fedora vsftpd(pam_unix)[2214]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=192.168.1.121 ここで、どの文字を【監視】するかが重要になります。「authentication failure」が良さそうなのでこれを監視文字列としてみましょう。設定ファイルは以下の様になります。【watchfor /authentication failure/】動作は、監視に掛かった場合、以下の文字で動作します。表示するには「echo」音を鳴らすには「beep」プログラムを実行するには「exec」メール送信するには「mail」試しに、先程の条件で画面表示(強調表示)して、音を3回鳴らしてみるには以下の様にします。 watchfor /authentication failure/ echo bold beep 3 これだけです。それでは、監視実行してみます。 (今回はrootで実行するので、上記監視設定ファイルは「/root/.swatchrc」で作成しておいてください。なお、監視対象の認証失敗時に出力されるログファイルは「/var/log/messages」です。) # swatch -t /var/log/messages 画面上では以下の様になっていると思います。 [root@fedora ~]# swatch -t /var/log/messages * swatch version 3.1.1 (pid:2522) started at 2005年 10月 7日金曜日 15:06:03 JST それでは、わざとsuしてみて、パスワードを間違えてみてください。画面には以下の様に出力され、音が3回鳴ったと思います。 [root@fedora ~]# swatch -t /var/log/messages * swatch version 3.1.1 (pid:2522) started at 2005年 10月 7日金曜日 15:06:03 JST Oct 7 15:06:13 fedora su(pam_unix)[2526]: authentication failure; logname= uid=500 euid=0 tty=pts/1 ruser=linux rhost= user=root 同様に、vsftpでパスワード失敗してもログが出力され、音が鳴ります。
Re: swatchについて ( No.2 )
æ¥æï¼ 2005/10/07 16:45 ååï¼ 管理者 `追記監視設定ファイルを変更する事も可能です。例)/root/swatch_su 実行方法 # swatch -c /root/swatch_su -t /var/log/messages`
Re: swatchについて ( No.3 )
æ¥æï¼ 2005/10/07 22:49 ååï¼ remind 管理人さん、早速ご回答いただきありがとうございます。恥ずかしながら、まだインストールをしていないのですが、最近ポートアタックに会い、ファイルを改竄され情けないのですが、破壊されてしまいました。それでセキュリティについて調べていましたら、swatchとゆうのを発見しまして、妙な動きをするパケットを破棄できるとのことでしたので、導入をしてみようかと思い質問させていただきました。 swatchでなく他に何か良い物ががあればご提案いただきたいです。ひとまずswatchでとりくんでみようと思います。また何かありしたら質問させていただきます。
Re: swatchについて ( No.4 )
æ¥æï¼ 2005/10/08 07:02 ååï¼ 管理者そうでしたか・・。それであれば、監視する前に防御が先ですね。どのポートでアタックされたのかが分かれば、手っ取り早いのですが、大抵の場合 telnet、ftp、ssh、dns(?)と思われます。最後のdnsは知人から聞いた話なので実際にどの様に改ざんされるのか不明です。 (恐らく、同期で出鱈目なIPにされると思われます。) まず、一般的には全てのポートを閉じてしまい必要なポートを開く様にします。いわゆるファイアウォール方式ですね。ルータ等を使用していれば、殆どポートの開閉機能があると思いますのでそちらを利用します。 (私はこちらを利用しています) ルータを使用していなければ(直接Linuxが外部と繋がっている場合)、iptablesと言う機能を利用します。この後は、当サイトで紹介している「セキュリティ強化」・「クライアントよりサーバを操作(◆◇セキュア◇◆)」をご参照下さい。その他、ポートを公開しているサービスなどは常時最新にアップデートを行ったり、今回のswtachを導入するなどが良いかも知れません。
Re: swatchについて ( No.5 )
æ¥æï¼ 2005/10/10 14:33 ååï¼ remind `swatchの設定で、たとえば相手にあるディレクトリへの許可のユーザネームとパスワードを教えて、そこ以外にいこうとしたり、何か不穏な動きをみせたら切断するみたいな設定は可能なのでしょうか？できないのであれば何かいい方法はないのもでしょうか？`