不正アクセスのログが集計されない。（良いことですけど）

????????????????????¨????°???¨??§????????°???????¨??????￢???????????°?????±??????????????§??????

不正アクセスのログが集計されない。（良いことですけど）

????????? 2006/03/14 23:05
????????? house <info@shiawase-home.com>
?????§??? http://www.shiawase-home.com

?不明点・障害内容：不正アクセスの集計がされない ?ログの有無　　　：なし　　(有：その内容)： ?Distribution　　：CENTOS4.2 　　　　　 Version： ?Service Name　　：　　　　　 Version： ?ネットワーク構成：私もこのサイトを習い（このサイトと同じように・というか同じ設定）不正アクセス一覧の集計(OrignalCGI) を設置させて頂いております。ただ、今までに一度も不正アクセスが集計されていません。これが本当ならうれしいことですが、どうも設定に問題があるような気がします。これはメールが今まで今回のセキュリティをしていないからでしょうか？現在、「FTP」は用いておらず、「WINSCP」と「Poderosa」のみ用いています。 WINSCPもPoderosaも「SSH2」を用いています。 cat /etc/ssh/sshd_config　の設定は PermitEmptyPasswords no PasswordAuthentication no です。私の解釈が間違っていなければ、現在の私のサーバーの状態は、SSH2を通してのみアクセス出来るようになっていると思います。その他設定は以下になります。 cat /etc/hosts.allow sshd: 127.0.0.1 , 192.168.0. cat /etc/hosts.deny sshd: ALL ちょっと場違いの質問かもしれませんが、よろしくお願い申し上げます。

■ コンテンツ関連情報

不正アクセスログについて ( No.1 )

????????? 2006/03/15 02:02
????????? 管理者

外出してしまったので携帯から失礼します。不正アクセスについてですが、houseさんの場合、当サイトでご自分のホームページURLを公開されていますので、誰かしらSSHアクセスを試みてると思います。 1件もないなんて、ありえないと思いますよ。戻ったら、またレスします。

Re: 不正アクセスのログが集計されない。（良いことですけど ( No.2 )

????????? 2006/03/15 11:18
????????? 管理者

houseさん。こんにちは。 CentOSでTCP Wrapperによるログが出力されていない事を確認しました。本来の動作であれば、「/etc/hosts.allow」の「sshd」に登録していないIPアドレスがSSHアクセスした場合、「/var/log/secure」に以下のようなログを出力します。 Mar 14 06:51:49 www sshd[21798]: refused connect from xxx..yyy.net (::ffff:xxx.xxx.xxx.xxx) 集計スクリプトは「/var/log/secure*」から「refused connect from」を拾い出してIPとホスト名を集計する様に作ってあります。しかし、CentOSのTCP WrapperからSSHDへのアクセスでのログが「Success」は出力されますが指定以外からのIPアドレスのログを書かなくなっています。この指定以外からのIPアドレス接続のメッセージ出力をするオプション？設定？がどこかにあると思うのですが、まだ調べきっておりません。恐らく、houseさんのサーバには沢山の不正アクセスを行っている第3者がいると思いますが、ログに出力されていないだけと言う事になります。しかし幸いな事にTCP Wrapperのおかげでsshデーモンまでのコネクションが貼られないので全く問題ないと言えます。

Re: 不正アクセスのログが集計されない。（良いことですけど） ( No.3 )

????????? 2006/03/15 13:21
????????? house <info@shiawase-home.com>
?????§??? http://www.shiawase-home.com

いつも本当に有り難うございます。とりあえず、グーグルでの検索や以下を参考に Red Hat Enterprise Linux 4: セキュリティガイド http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/ja/ref-guide/s1-tcpwrappers-access.html http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/ja/security-guide/ch-server.html /etc/hosts.deny　の設定を sshd: ALL : severity emerg にしてみたのですが、これで問題ないでしょうか？また、セキュリティ向上の為に、 /etc/hosts.allow を sshd: 127.0.0.1 , （サーバーマシンのローカルIP) , （XPクライアントのローカルIP）としました。よく分からないのですが、万が一ルーターに私を装って外部からアクセスしてきた場合に外部のIPではなく、一見ルーターのIPでアクセスされるのではないかと考えたのですが、それは考えすぎですか？上記設定で、poderosaからクライアントのXPより　ローカルIPでアクセスするとアクセスできました。試しに外部の公開プロキシを経由してドメイン名でアクセスしてみると「接続先はSSHのサーバではありません。」と出ました。ちなみに、このときの /var/log/secure には Mar 15 13:04:17 server sshd[7141]: Received disconnect from ::ffff:（XPのローカルIP）: 0: Mar 15 13:13:34 server sshd[7211]: reverse mapping checking getaddrinfo for ****.shiawase-home.com failed - POSSIBLE BREAKIN ATTEMPT! と現れました。尚、/etc/hosts.allow を sshd: 127.0.0.1 , 192.168.0. と設定してpoderosa で外部プロキシを経由してドメイン名でアクセスするとアクセスが出来てしまいます。この場合、ログにはXPのローカルIPではなく、ルーターのローカルIPにて接続した、というようなログが出ます。これはちょっと危険かな？と思った次第です。よかったらコメントをいただけると幸いです。

Re: 不正アクセスのログが集計されない。（良いことですけど ( No.4 )

????????? 2006/03/15 14:15
????????? 管理者

確かにproxy経由だと偽られる可能性があるので怖い部分がありますね。この場合は、ログイン認証まで来てしまいますので、houseさんも施しているとは存じますが鍵認証でのアクセスにします。 (proxy+IP詐称)以外は全て除外でき、ネットワークをスルーしても鍵認証というブロックがあるのでかなり有効と思います。

Re: 不正アクセスのログが集計されない。（良いことですけど） ( No.5 )

????????? 2006/03/15 14:46
????????? house <info@shiawase-home.com>
?????§??? http://www.shiawase-home.com

しかし、依然として、不正アクセスのログが HTML上に現れません。やっぱりどこか設定が足りないのかもしれません。現状でぇあ、ログ(/var/log/secure)には 192.168.　で始まるログのみが記載されている状態です。

Re: 不正アクセスのログが集計されない。（良いことですけど ( No.6 )

????????? 2006/03/15 14:57
????????? 管理者

> しかし、 > 依然として、不正アクセスのログが > HTML上に現れません。当サイトで公開しているスクリプトではhouseさんのHTMLには出力されません。前のレスでも書かせて頂きましたが「/var/log/secure」に以下のログが出ないと集計できません。 Mar 14 06:51:49 www sshd[21798]: refused connect from xxx..yyy.net (::ffff:xxx.xxx.xxx.xxx) (※：「refused connect from」キーワードが重要) 何らかの方法で上記ログを出力させるか、TCP Wrapperを用いず、パスワード認証にてエラー出力させるかだと思います以下がパスワード認証失敗時のメッセージ Mar 15 14:50:40 www sshd[15339]: Failed password for root from xxx.xxx.xxx.xxx port 3193 (※：この時のキーワードは「Failed password」となると思います。)

Re: 不正アクセスのログが集計されない。（良いことですけど） ( No.7 )

????????? 2006/03/16 10:31
????????? house <info@shiawase-home.com>
?????§??? http://www.shiawase-home.com

丁寧に有り難うございます。なんとなく、パスワード認証で失敗・・・というイメージがみなさんのような方からして「パスワード認証までいけるんかい・・・」と突っ込みを食らうよう感じがしたので、不正アクセスをパスワード認証に失敗した・・・というのはやめました。グーグルで、ログをあらわす方法を調べたのですがどうも上手いコマンドが見つかりませんでした。そこで・・・ iptables のログと snortSnarf でもって設定することにしました。とりあえず、不正アクセス（ロボットもログされてしまいますが）は使えるようになりました。皆さんのような方からすれば単なるはったりでしょうが・・・

■ その他

ページ先頭へ

不正アクセスログについて ( No.1 )
????????? 2006/03/15 02:02 ????????? 管理者 `外出してしまったので携帯から失礼します。不正アクセスについてですが、houseさんの場合、当サイトでご自分のホームページURLを公開されていますので、誰かしらSSHアクセスを試みてると思います。 1件もないなんて、ありえないと思いますよ。戻ったら、またレスします。`
Re: 不正アクセスのログが集計されない。（良いことですけど ( No.2 )
????????? 2006/03/15 11:18 ????????? 管理者 houseさん。こんにちは。 CentOSでTCP Wrapperによるログが出力されていない事を確認しました。本来の動作であれば、「/etc/hosts.allow」の「sshd」に登録していないIPアドレスがSSHアクセスした場合、「/var/log/secure」に以下のようなログを出力します。 Mar 14 06:51:49 www sshd[21798]: refused connect from xxx..yyy.net (::ffff:xxx.xxx.xxx.xxx) 集計スクリプトは「/var/log/secure*」から「refused connect from」を拾い出してIPとホスト名を集計する様に作ってあります。しかし、CentOSのTCP WrapperからSSHDへのアクセスでのログが「Success」は出力されますが指定以外からのIPアドレスのログを書かなくなっています。この指定以外からのIPアドレス接続のメッセージ出力をするオプション？設定？がどこかにあると思うのですが、まだ調べきっておりません。恐らく、houseさんのサーバには沢山の不正アクセスを行っている第3者がいると思いますが、ログに出力されていないだけと言う事になります。しかし幸いな事にTCP Wrapperのおかげでsshデーモンまでのコネクションが貼られないので全く問題ないと言えます。
Re: 不正アクセスのログが集計されない。（良いことですけど） ( No.3 )
????????? 2006/03/15 13:21 ????????? house <info@shiawase-home.com> ?????§??? http://www.shiawase-home.com いつも本当に有り難うございます。とりあえず、グーグルでの検索や以下を参考に Red Hat Enterprise Linux 4: セキュリティガイド http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/ja/ref-guide/s1-tcpwrappers-access.html http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/ja/security-guide/ch-server.html /etc/hosts.deny　の設定を sshd: ALL : severity emerg にしてみたのですが、これで問題ないでしょうか？また、セキュリティ向上の為に、 /etc/hosts.allow を sshd: 127.0.0.1 , （サーバーマシンのローカルIP) , （XPクライアントのローカルIP）としました。よく分からないのですが、万が一ルーターに私を装って外部からアクセスしてきた場合に外部のIPではなく、一見ルーターのIPでアクセスされるのではないかと考えたのですが、それは考えすぎですか？上記設定で、poderosaからクライアントのXPより　ローカルIPでアクセスするとアクセスできました。試しに外部の公開プロキシを経由してドメイン名でアクセスしてみると「接続先はSSHのサーバではありません。」と出ました。ちなみに、このときの /var/log/secure には Mar 15 13:04:17 server sshd[7141]: Received disconnect from ::ffff:（XPのローカルIP）: 0: Mar 15 13:13:34 server sshd[7211]: reverse mapping checking getaddrinfo for ****.shiawase-home.com failed - POSSIBLE BREAKIN ATTEMPT! と現れました。尚、/etc/hosts.allow を sshd: 127.0.0.1 , 192.168.0. と設定してpoderosa で外部プロキシを経由してドメイン名でアクセスするとアクセスが出来てしまいます。この場合、ログにはXPのローカルIPではなく、ルーターのローカルIPにて接続した、というようなログが出ます。これはちょっと危険かな？と思った次第です。よかったらコメントをいただけると幸いです。
Re: 不正アクセスのログが集計されない。（良いことですけど ( No.4 )
????????? 2006/03/15 14:15 ????????? 管理者 `確かにproxy経由だと偽られる可能性があるので怖い部分がありますね。この場合は、ログイン認証まで来てしまいますので、houseさんも施しているとは存じますが鍵認証でのアクセスにします。 (proxy+IP詐称)以外は全て除外でき、ネットワークをスルーしても鍵認証というブロックがあるのでかなり有効と思います。`
Re: 不正アクセスのログが集計されない。（良いことですけど） ( No.5 )
????????? 2006/03/15 14:46 ????????? house <info@shiawase-home.com> ?????§??? http://www.shiawase-home.com `しかし、依然として、不正アクセスのログが HTML上に現れません。やっぱりどこか設定が足りないのかもしれません。現状でぇあ、ログ(/var/log/secure)には 192.168.　で始まるログのみが記載されている状態です。`
Re: 不正アクセスのログが集計されない。（良いことですけど ( No.6 )
????????? 2006/03/15 14:57 ????????? 管理者 > しかし、 > 依然として、不正アクセスのログが > HTML上に現れません。当サイトで公開しているスクリプトではhouseさんのHTMLには出力されません。前のレスでも書かせて頂きましたが「/var/log/secure」に以下のログが出ないと集計できません。 Mar 14 06:51:49 www sshd[21798]: refused connect from xxx..yyy.net (::ffff:xxx.xxx.xxx.xxx) (※：「refused connect from」キーワードが重要) 何らかの方法で上記ログを出力させるか、TCP Wrapperを用いず、パスワード認証にてエラー出力させるかだと思います以下がパスワード認証失敗時のメッセージ Mar 15 14:50:40 www sshd[15339]: Failed password for root from xxx.xxx.xxx.xxx port 3193 (※：この時のキーワードは「Failed password」となると思います。)
Re: 不正アクセスのログが集計されない。（良いことですけど） ( No.7 )
????????? 2006/03/16 10:31 ????????? house <info@shiawase-home.com> ?????§??? http://www.shiawase-home.com 丁寧に有り難うございます。なんとなく、パスワード認証で失敗・・・というイメージがみなさんのような方からして「パスワード認証までいけるんかい・・・」と突っ込みを食らうよう感じがしたので、不正アクセスをパスワード認証に失敗した・・・というのはやめました。グーグルで、ログをあらわす方法を調べたのですがどうも上手いコマンドが見つかりませんでした。そこで・・・ iptables のログと snortSnarf でもって設定することにしました。とりあえず、不正アクセス（ロボットもログされてしまいますが）は使えるようになりました。皆さんのような方からすれば単なるはったりでしょうが・・・