 不正アクセスログについて
( No.1 )
|
 |
- 日時: 2006/03/15 02:02
- 名前: 管理者
-
外出してしまったので携帯から失礼します。
不正アクセスについてですが、houseさんの場合、当サイトでご自分のホームページURLを公開されていますので、誰かしらSSHアクセスを試みてると思います。
1件もないなんて、ありえないと思いますよ。
戻ったら、またレスします。
|
|
Re: 不正アクセスのログが集計されない。(良いことですけど
( No.2 )
|
 |
- 日時: 2006/03/15 11:18
- 名前: 管理者
-
houseさん。こんにちは。
CentOSでTCP Wrapperによるログが出力されていない事を確認しました。
本来の動作であれば、「/etc/hosts.allow」の「sshd」に登録していないIPアドレスがSSHアクセスした場合、
「/var/log/secure」に以下のようなログを出力します。
Mar 14 06:51:49 www sshd[21798]: refused connect from xxx..yyy.net (::ffff:xxx.xxx.xxx.xxx)
集計スクリプトは「/var/log/secure*」から「refused connect from」を拾い出してIPとホスト名を集計する様に作ってあります。
しかし、CentOSのTCP WrapperからSSHDへのアクセスでのログが「Success」は出力されますが指定以外からのIPアドレスのログを書かなくなっています。
この指定以外からのIPアドレス接続のメッセージ出力をするオプション?設定?がどこかにあると思うのですが、まだ調べきっておりません。
恐らく、houseさんのサーバには沢山の不正アクセスを行っている第3者がいると思いますが、ログに出力されていないだけと言う事になります。
しかし幸いな事にTCP Wrapperのおかげでsshデーモンまでのコネクションが貼られないので全く問題ないと言えます。
|
|
Re: 不正アクセスのログが集計されない。(良いことですけど)
( No.3 )
|
|
- 日時: 2006/03/15 13:21
- 名前: house
<info@shiawase-home.com>
- 参照: http://www.shiawase-home.com
-
いつも本当に有り難うございます。
とりあえず、グーグルでの検索や
以下を参考に
Red Hat Enterprise Linux 4: セキュリティガイド
http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/ja/ref-guide/s1-tcpwrappers-access.html
http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/ja/security-guide/ch-server.html
/etc/hosts.deny の設定を
sshd: ALL : severity emerg
にしてみたのですが、これで問題ないでしょうか?
また、セキュリティ向上の為に、
/etc/hosts.allow を
sshd: 127.0.0.1 , (サーバーマシンのローカルIP) , (XPクライアントのローカルIP)
としました。
よく分からないのですが、万が一
ルーターに私を装って外部からアクセスしてきた場合に
外部のIPではなく、一見ルーターのIPでアクセスされるのではないかと
考えたのですが、それは考えすぎですか?
上記設定で、poderosaから
クライアントのXPより ローカルIPでアクセスすると
アクセスできました。
試しに外部の公開プロキシを経由して
ドメイン名でアクセスしてみると
「接続先はSSHのサーバではありません。」と出ました。
ちなみに、このときの
/var/log/secure には
Mar 15 13:04:17 server sshd[7141]: Received disconnect from ::ffff:(XPのローカルIP): 0:
Mar 15 13:13:34 server sshd[7211]: reverse mapping checking getaddrinfo for ****.shiawase-home.com failed - POSSIBLE BREAKIN ATTEMPT!
と現れました。
尚、/etc/hosts.allow を
sshd: 127.0.0.1 , 192.168.0.
と設定してpoderosa で外部プロキシを経由してドメイン名でアクセスすると
アクセスが出来てしまいます。
この場合、ログにはXPのローカルIPではなく、
ルーターのローカルIPにて接続した、というようなログが出ます。
これはちょっと危険かな?と思った次第です。
よかったらコメントをいただけると幸いです。
|
|
Re: 不正アクセスのログが集計されない。(良いことですけど
( No.4 )
|
|
- 日時: 2006/03/15 14:15
- 名前: 管理者
-
確かにproxy経由だと偽られる可能性があるので怖い部分がありますね。
この場合は、ログイン認証まで来てしまいますので、houseさんも施しているとは存じますが鍵認証でのアクセスにします。
(proxy+IP詐称)以外は全て除外でき、ネットワークをスルーしても鍵認証というブロックがあるのでかなり有効と思います。
|
|
Re: 不正アクセスのログが集計されない。(良いことですけど)
( No.5 )
|
|
- 日時: 2006/03/15 14:46
- 名前: house
<info@shiawase-home.com>
- 参照: http://www.shiawase-home.com
-
しかし、
依然として、不正アクセスのログが
HTML上に現れません。
やっぱりどこか設定が足りないのかもしれません。
現状でぇあ、ログ(/var/log/secure)には
192.168. で始まるログのみが
記載されている状態です。
|
|
Re: 不正アクセスのログが集計されない。(良いことですけど
( No.6 )
|
|
- 日時: 2006/03/15 14:57
- 名前: 管理者
-
> しかし、
> 依然として、不正アクセスのログが
> HTML上に現れません。
当サイトで公開しているスクリプトではhouseさんのHTMLには出力されません。
前のレスでも書かせて頂きましたが「/var/log/secure」に以下のログが出ないと集計できません。
Mar 14 06:51:49 www sshd[21798]: refused connect from xxx..yyy.net (::ffff:xxx.xxx.xxx.xxx)
(※:「refused connect from」キーワードが重要)
何らかの方法で上記ログを出力させるか、TCP Wrapperを用いず、パスワード認証にてエラー出力させるかだと思います
以下がパスワード認証失敗時のメッセージ
Mar 15 14:50:40 www sshd[15339]: Failed password for root from xxx.xxx.xxx.xxx port 3193
(※:この時のキーワードは「Failed password」となると思います。)
|
|
Re: 不正アクセスのログが集計されない。(良いことですけど)
( No.7 )
|
|
- 日時: 2006/03/16 10:31
- 名前: house
<info@shiawase-home.com>
- 参照: http://www.shiawase-home.com
-
丁寧に有り難うございます。
なんとなく、パスワード認証で失敗・・・というイメージが
みなさんのような方からして
「パスワード認証までいけるんかい・・・」
と突っ込みを食らうよう感じがしたので、
不正アクセスをパスワード認証に失敗した・・・というのはやめました。
グーグルで、ログをあらわす方法を調べたのですが
どうも上手いコマンドが見つかりませんでした。
そこで・・・
iptables のログと snortSnarf
でもって設定することにしました。
とりあえず、不正アクセス(ロボットもログされてしまいますが)
は使えるようになりました。
皆さんのような方からすれば
単なるはったりでしょうが・・・
|
不正アクセスのログが集計されない。(良いことですけど)