不正アクセスのログが集計されない。（良いことですけど）

不正アクセスのログが集計されない。（良いことですけど）

æ¥æï¼ 2006/03/14 23:05
ååï¼ house <info@shiawase-home.com>
参照： http://www.shiawase-home.com

①不明点・障害内容：不正アクセスの集計がされない ②ログの有無：なし (有：その内容)： ③Distribution ：CENTOS4.2 Version： ④Service Name ： Version： ⑤ネットワーク構成：私もこのサイトを習い（このサイトと同じように・というか同じ設定）不正アクセス一覧の集計(OrignalCGI) を設置させて頂いております。ただ、今までに一度も不正アクセスが集計されていません。これが本当ならうれしいことですが、どうも設定に問題があるような気がします。これはメールが今まで今回のセキュリティをしていないからでしょうか？現在、「FTP」は用いておらず、「WINSCP」と「Poderosa」のみ用いています。 WINSCPもPoderosaも「SSH2」を用いています。 cat /etc/ssh/sshd_config の設定は PermitEmptyPasswords no PasswordAuthentication no です。私の解釈が間違っていなければ、現在の私のサーバーの状態は、SSH2を通してのみアクセス出来るようになっていると思います。その他設定は以下になります。 cat /etc/hosts.allow sshd: 127.0.0.1 , 192.168.0. cat /etc/hosts.deny sshd: ALL ちょっと場違いの質問かもしれませんが、よろしくお願い申し上げます。

Page: [1] [2]

■ コンテンツ関連情報

不正アクセスログについて ( No.1 )

æ¥æï¼ 2006/03/15 02:02
ååï¼ 管理者

外出してしまったので携帯から失礼します。不正アクセスについてですが、houseさんの場合、当サイトでご自分のホームページURLを公開されていますので、誰かしらSSHアクセスを試みてると思います。 1件もないなんて、ありえないと思いますよ。戻ったら、またレスします。

Re: 不正アクセスのログが集計されない。（良いことですけど ( No.2 )

æ¥æï¼ 2006/03/15 11:18
ååï¼ 管理者

houseさん。こんにちは。 CentOSでTCP Wrapperによるログが出力されていない事を確認しました。本来の動作であれば、「/etc/hosts.allow」の「sshd」に登録していないIPアドレスがSSHアクセスした場合、「/var/log/secure」に以下のようなログを出力します。 Mar 14 06:51:49 www sshd[21798]: refused connect from xxx..yyy.net (::ffff:xxx.xxx.xxx.xxx) 集計スクリプトは「/var/log/secure*」から「refused connect from」を拾い出してIPとホスト名を集計する様に作ってあります。しかし、CentOSのTCP WrapperからSSHDへのアクセスでのログが「Success」は出力されますが指定以外からのIPアドレスのログを書かなくなっています。この指定以外からのIPアドレス接続のメッセージ出力をするオプション？設定？がどこかにあると思うのですが、まだ調べきっておりません。恐らく、houseさんのサーバには沢山の不正アクセスを行っている第3者がいると思いますが、ログに出力されていないだけと言う事になります。しかし幸いな事にTCP Wrapperのおかげでsshデーモンまでのコネクションが貼られないので全く問題ないと言えます。

Re: 不正アクセスのログが集計されない。（良いことですけど） ( No.3 )

æ¥æï¼ 2006/03/15 13:21
ååï¼ house <info@shiawase-home.com>
参照： http://www.shiawase-home.com

いつも本当に有り難うございます。とりあえず、グーグルでの検索や以下を参考に Red Hat Enterprise Linux 4: セキュリティガイド http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/ja/ref-guide/s1-tcpwrappers-access.html http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/ja/security-guide/ch-server.html /etc/hosts.deny の設定を sshd: ALL : severity emerg にしてみたのですが、これで問題ないでしょうか？また、セキュリティ向上の為に、 /etc/hosts.allow を sshd: 127.0.0.1 , （サーバーマシンのローカルIP) , （XPクライアントのローカルIP）としました。よく分からないのですが、万が一ルーターに私を装って外部からアクセスしてきた場合に外部のIPではなく、一見ルーターのIPでアクセスされるのではないかと考えたのですが、それは考えすぎですか？上記設定で、poderosaからクライアントのXPよりローカルIPでアクセスするとアクセスできました。試しに外部の公開プロキシを経由してドメイン名でアクセスしてみると「接続先はSSHのサーバではありません。」と出ました。ちなみに、このときの /var/log/secure には Mar 15 13:04:17 server sshd[7141]: Received disconnect from ::ffff:（XPのローカルIP）: 0: Mar 15 13:13:34 server sshd[7211]: reverse mapping checking getaddrinfo for ****.shiawase-home.com failed - POSSIBLE BREAKIN ATTEMPT! と現れました。尚、/etc/hosts.allow を sshd: 127.0.0.1 , 192.168.0. と設定してpoderosa で外部プロキシを経由してドメイン名でアクセスするとアクセスが出来てしまいます。この場合、ログにはXPのローカルIPではなく、ルーターのローカルIPにて接続した、というようなログが出ます。これはちょっと危険かな？と思った次第です。よかったらコメントをいただけると幸いです。

Re: 不正アクセスのログが集計されない。（良いことですけど ( No.4 )

æ¥æï¼ 2006/03/15 14:15
ååï¼ 管理者

確かにproxy経由だと偽られる可能性があるので怖い部分がありますね。この場合は、ログイン認証まで来てしまいますので、houseさんも施しているとは存じますが鍵認証でのアクセスにします。 (proxy+IP詐称)以外は全て除外でき、ネットワークをスルーしても鍵認証というブロックがあるのでかなり有効と思います。

Re: 不正アクセスのログが集計されない。（良いことですけど） ( No.5 )

æ¥æï¼ 2006/03/15 14:46
ååï¼ house <info@shiawase-home.com>
参照： http://www.shiawase-home.com

しかし、依然として、不正アクセスのログが HTML上に現れません。やっぱりどこか設定が足りないのかもしれません。現状でぇあ、ログ(/var/log/secure)には 192.168. で始まるログのみが記載されている状態です。

Page: [1] [2]

é¡å
名前	("初心者"を含む名前は使用できません)
E-Mail
URL
パスワード	記事メンテ時に使用）
投稿キー	（投稿時を入力してください）
コメント
画像添付	（対応画像：JPEG/GIF/PNG [Max 500KB]）
	クッキー保存

■ その他

ページ先頭へ

不正アクセスログについて ( No.1 )
æ¥æï¼ 2006/03/15 02:02 ååï¼ 管理者 `外出してしまったので携帯から失礼します。不正アクセスについてですが、houseさんの場合、当サイトでご自分のホームページURLを公開されていますので、誰かしらSSHアクセスを試みてると思います。 1件もないなんて、ありえないと思いますよ。戻ったら、またレスします。`
Re: 不正アクセスのログが集計されない。（良いことですけど ( No.2 )
æ¥æï¼ 2006/03/15 11:18 ååï¼ 管理者 houseさん。こんにちは。 CentOSでTCP Wrapperによるログが出力されていない事を確認しました。本来の動作であれば、「/etc/hosts.allow」の「sshd」に登録していないIPアドレスがSSHアクセスした場合、「/var/log/secure」に以下のようなログを出力します。 Mar 14 06:51:49 www sshd[21798]: refused connect from xxx..yyy.net (::ffff:xxx.xxx.xxx.xxx) 集計スクリプトは「/var/log/secure*」から「refused connect from」を拾い出してIPとホスト名を集計する様に作ってあります。しかし、CentOSのTCP WrapperからSSHDへのアクセスでのログが「Success」は出力されますが指定以外からのIPアドレスのログを書かなくなっています。この指定以外からのIPアドレス接続のメッセージ出力をするオプション？設定？がどこかにあると思うのですが、まだ調べきっておりません。恐らく、houseさんのサーバには沢山の不正アクセスを行っている第3者がいると思いますが、ログに出力されていないだけと言う事になります。しかし幸いな事にTCP Wrapperのおかげでsshデーモンまでのコネクションが貼られないので全く問題ないと言えます。
Re: 不正アクセスのログが集計されない。（良いことですけど） ( No.3 )
æ¥æï¼ 2006/03/15 13:21 ååï¼ house <info@shiawase-home.com> 参照： http://www.shiawase-home.com いつも本当に有り難うございます。とりあえず、グーグルでの検索や以下を参考に Red Hat Enterprise Linux 4: セキュリティガイド http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/ja/ref-guide/s1-tcpwrappers-access.html http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/ja/security-guide/ch-server.html /etc/hosts.deny の設定を sshd: ALL : severity emerg にしてみたのですが、これで問題ないでしょうか？また、セキュリティ向上の為に、 /etc/hosts.allow を sshd: 127.0.0.1 , （サーバーマシンのローカルIP) , （XPクライアントのローカルIP）としました。よく分からないのですが、万が一ルーターに私を装って外部からアクセスしてきた場合に外部のIPではなく、一見ルーターのIPでアクセスされるのではないかと考えたのですが、それは考えすぎですか？上記設定で、poderosaからクライアントのXPよりローカルIPでアクセスするとアクセスできました。試しに外部の公開プロキシを経由してドメイン名でアクセスしてみると「接続先はSSHのサーバではありません。」と出ました。ちなみに、このときの /var/log/secure には Mar 15 13:04:17 server sshd[7141]: Received disconnect from ::ffff:（XPのローカルIP）: 0: Mar 15 13:13:34 server sshd[7211]: reverse mapping checking getaddrinfo for ****.shiawase-home.com failed - POSSIBLE BREAKIN ATTEMPT! と現れました。尚、/etc/hosts.allow を sshd: 127.0.0.1 , 192.168.0. と設定してpoderosa で外部プロキシを経由してドメイン名でアクセスするとアクセスが出来てしまいます。この場合、ログにはXPのローカルIPではなく、ルーターのローカルIPにて接続した、というようなログが出ます。これはちょっと危険かな？と思った次第です。よかったらコメントをいただけると幸いです。
Re: 不正アクセスのログが集計されない。（良いことですけど ( No.4 )
æ¥æï¼ 2006/03/15 14:15 ååï¼ 管理者 `確かにproxy経由だと偽られる可能性があるので怖い部分がありますね。この場合は、ログイン認証まで来てしまいますので、houseさんも施しているとは存じますが鍵認証でのアクセスにします。 (proxy+IP詐称)以外は全て除外でき、ネットワークをスルーしても鍵認証というブロックがあるのでかなり有効と思います。`
Re: 不正アクセスのログが集計されない。（良いことですけど） ( No.5 )
æ¥æï¼ 2006/03/15 14:46 ååï¼ house <info@shiawase-home.com> 参照： http://www.shiawase-home.com `しかし、依然として、不正アクセスのログが HTML上に現れません。やっぱりどこか設定が足りないのかもしれません。現状でぇあ、ログ(/var/log/secure)には 192.168. で始まるログのみが記載されている状態です。`