はじめての自宅サーバ構築 - Fedora/CentOS -
Last Update 2018/05/30
[ 更新履歴 ] [ サイト マップ ] [ 質問掲示板 ] [ 雑談掲示板 ] [ リンク ]
トップ >> 当サイト情報 >> スレッド

????????????????????¨????°???¨??§????????°???????¨??????¬???????????°?????±??????????????§??????

このスレッドはクローズされています。記事の閲覧のみとなります。

 Logwatchについて
????????? 2009/12/08 15:45
????????? hiyo


いつも当サイトを参考にさせて頂き感謝しております。

先日(1週間ほど前)
CentOS5のインストールと
メールサーバー、ウエブサーバー等を立ち上げました。

各サーバーは今のところ正常に動作しておりますが、
毎日配信されて来るLogwatchの内容が初心者の私には分かりません。
何か重要な内容が含まれていても見過ごしているかもしれません。

例えば、
1.pam_unixの所でdovecotの認証拒否が128回も有ったのか?
 一応拒否しているので問題無しとするのか?
 (190.12.62.178は自サイトのIPではありません。)

2.postfixではテスト以外送信・受信したことも無いのに
 151421 bytesも送信している?

3.ConnectionsにUnmatched Entriesとして
 dovecot-auth: pam_succeed_if(dovecot:auth):・・・
 等と、たくさん、ゾロゾロ書き込まれています。

もしかしてバックドアで踏み台になっているのか?
それともlinuxを立ち上げて間もないのにそれは無いのでは?
等と分からないばっかりに不安で一杯です。

セキュリティ対策は当サイトを参考に設定しております。
http://kajuhome.com/server_access.shtml
http://kajuhome.com/clam_antivirus.shtml

wan->lanの開放ポートは、http、smtp、pop3だけです。
ssh、ftpはlan内のみ許可にしております。

セキュリティに詳しい方初心者に分かるよう教えてください。
よろしくお願いします。


--------------------- amavis Begin ------------------------

5 messages checked and passed.


**Unmatched Entries**
  (!!)WARN: all primary virus scanners failed, considering backups: 5 Time(s)
  Found decoder for  .tar at /usr/bin/pax: 1 Time(s)
  Internal decoder for .zip : 1 Time(s)
  Found decoder for  .F  at /usr/bin/unfreeze: 1 Time(s)
  starting. /usr/sbin/amavisd at ******.******.net amavisd-new-2.6.4 (20090625), Unicode aware, LANG="ja_JP.UTF-8": 1 Time(s)
  Creating db in /var/amavis/db/; BerkeleyDB 0.36, libdb 4.3: 1 Time(s)
  Internal decoder for .tnef: 1 Time(s)
  Found decoder for  .deb at /usr/bin/ar: 1 Time(s)
  Found decoder for  .zoo at /usr/bin/zoo: 1 Time(s)



---------------------- amavis End -------------------------


--------------------- pam_unix Begin ------------------------

dovecot:
  Authentication Failures:
    rhost=::ffff:190.12.62.178 : 128 Time(s)
    root: 9 Time(s)
    adm: 1 Time(s)
    apache: 1 Time(s)
    bin: 1 Time(s)
    clamav: 1 Time(s)




  Unknown Entries:
    check pass; user unknown: 128 Time(s)


---------------------- pam_unix End -------------------------


--------------------- postfix Begin ------------------------

151421 bytes transferred
90 messages sent
8 messages removed from queue

Connections lost:
  Connection lost while CONNECT : 1 Time(s)
  Connection lost while END-OF-MESSAGE : 1 Time(s)
 ・


---------------------- postfix End -------------------------


--------------------- Connections (secure-log) Begin ------------------------

Userhelper executed applications:
  ******* -> system-config-network as root: 1 Time(s)
  ******* -> pup as root: 1 Time(s)

**Unmatched Entries**
dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user staff
dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user sales
dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user recruit
dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user alias
dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user office
 ・


dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user workshop

---------------------- Connections (secure-log) End -------------------------

■ コンテンツ関連情報

 Re: Logwatchについて ( No.1 )
????????? 2009/12/08 16:42
????????? チコ

>1.pam_unixの所でdovecotの認証拒否が128回も有ったのか?
> 一応拒否しているので問題無しとするのか?
> (190.12.62.178は自サイトのIPではありません。)

>2.postfixではテスト以外送信・受信したことも無いのに
> 151421 bytesも送信している?

>3.ConnectionsにUnmatched Entriesとして
> dovecot-auth: pam_succeed_if(dovecot:auth):・・・
> 等と、たくさん、ゾロゾロ書き込まれています。

1と3はメッセージカテゴリは違うけど、dovecot認証に失敗したっていうログですね。
手当たり次第に適当な名前でログイン(pop)していて、パスワードが違うからこのように出力されています。

2は、smtpコマンド発行の時のpostfixが出力するメッセージ文字数も加算されただけで、実際には送信していないものだと思います。
(helo・mail・rcpt・dataなどのコマンド)

このメッセージで別にバックドアになっていないんで心配はいらないと思います。
でもセキュリティは十分考慮は必要と思います。

ちなみに、僕のサーバーもこのメッセージはマウスのホイールを回すのが嫌なくらい出てきますよ(笑)
 Re: Logwatchについて ( No.2 )
????????? 2009/12/08 17:46
????????? stranger
?????§??? http://ja.528p.com/

logwatchの設定で
postfixだけDetail (詳細度) を上げてみる

デフォルトの設定ファイルをコピーします
(管理者権限で)

cd /usr/share/logwatch
cp default.conf/services/postfix.conf /etc/logwatch/conf/services

/etc/logwatch/conf/services/postfix.conf を修正します

省略

# Yes = True = On = 1
# No = False = Off = 0

Detail = 10 ←ここに設定を追加します

Title = "postfix"

省略

次のlogwatchからのメールでは詳細な報告がされると思う

どこへでdeliver(配信)されたか
ローカル以外の解からないところへdeliverされていないか確認
そうなっていたら、迷惑メールの踏台にされる可能性があります

logwatchの報告も含めシステムのメール配信として
postfixが使われるので、0にはならない
 Re: Logwatchについて ( No.3 )
????????? 2009/12/08 18:16
????????? hiyo


チコさんありがとうございます。

この程度のことはどのサーバーでも有るということですね
安心しました。

ところで、当サイトはIPv6を使用しない設定になっておりますが
もし、使用する設定にした時、不正侵入の可能性が高まるのでしょうか?

特にIPv6の必要性が有るわけでもないのですが、
CTUのファイヤーウォールの設定の所で、

IPv4、IPv6、IPv4・IPv6の3通りの中から1つ選択する場合、
私は分からないので「IPv4・IPv6」を選択しています。

サーバーは使用していないのにIPv6を選択するのは間違っていますか?
どこかのページを参考に設定しましたので自信がありません。

NTTに何度か問い合わせましたが明確な回答が得られませんでした。
 Re: Logwatchについて ( No.4 )
????????? 2009/12/08 18:41
????????? hiyo


strangerさんありがとうございます。

そうなんですか
メーラーに来る送信・受信メールだけではなかったのですね
納得できました。

>postfixだけDetail (詳細度) を上げてみる

早速やってみます。
明日のlogwatchの内容で分からない事があれば宜しくお願いします。

貴重な情報どうもありがとうございました。

 
 Re: Logwatchについて ( No.5 )
????????? 2009/12/14 16:00
????????? hiyo


>postfixだけDetail (詳細度) を上げてみる
>ローカル以外の解からないところへdeliverされていないか確認
>そうなっていたら、迷惑メールの踏台にされる可能性があります


早速、詳細度を上げ3日ほど見ていましたが、はっきり言って私には分かりません。

下の postfix Begin は昨日分ですが、
その内容の中に次の不明のアドレス(IP)が入っています。

1.dynamic.hinet.net 118.161.240.20
2.zz@mail2000.com.tw
3.hi7188s.pp5975@msa.hinet.net
4.zz@mail2000.com.tw 124.110.136.96

ローカル内でテストを含め2〜3回程度送受信した事は有りますが、
メールは外部から、また外部へは一度もを出していません。

ただ「reject」となっているので問題無しと判断してよろしいのでしょうか?

アドバイスを頂けたら幸いです。
宜しくお願いします。


--------------------- postfix Begin (detail=10) ------------------------

493504 bytes transferred
264 messages sent
1 messages expired and returned to sender
6 messages removed from queue

Top ten senders:
  2 messages sent by:
    root (uid=0):

Connections lost:
  Connection lost while RCPT : 1 Time(s)

**Unmatched Entries**

1BEAB12180C1: sender non-delivery notification: 4A54B12180B4
NOQUEUE: reject: RCPT from 118-161-240-20.dynamic.hinet.net[118.161.240.20]: 554 5.7.1 <zz@mail2000.com.tw>: Relay access denied; from=<hi7188s.pp5975@msa.hinet.net> to=<zz@mail2000.com.tw> proto=SMTP helo=<124.110.136.96>

---------------------- postfix End -------------------------

 Re: Logwatchについて ( No.6 )
????????? 2009/12/14 17:36
????????? stranger
?????§??? http://ja.528p.com/

CentOSのlogwatchのできが悪い
私のところではfc11のsrc.rpmからCentOS用のrpmを作って使っていますが
下記のようになります(ローカルIPとホスト名は替えてあるのでアクセスしないで下さい)

--------------------- Postfix Begin (detail=10) ------------------------

****** Summary *************************************************************************************

    15  *Warning: Pre-queue content-filter connection overload

  53.937K Bytes accepted              55,231
  53.937K Bytes delivered              55,231
========  ================================================

    7  Accepted                 63.64%
    4  Rejected                 36.36%
--------  ------------------------------------------------
    11  Total                  100.00%
========  ================================================

    4  Reject header              100.00%
--------  ------------------------------------------------
    4  Total Rejects              100.00%
========  ================================================

    26  Connections made   
    2  Connections lost   
    26  Disconnections    
    7  Removed from queue  
    7  Delivered      

    9  Hostname verification errors
    4  TLS connections (server)



****** Detailed ************************************************************************************

    15  *Warning: Pre-queue content-filter connection overload ----------------------------------
    12   After DATA
    12     unknown     
    2   After RCPT
    2     unknown     
    1   After EHLO
    1     unknown     

    4  Reject header ---------------------------------------------------------------------------
    4   5.7.1 HTML not allowed. Please Plain text.
    4     xxxxxxxx@528p.com
    3      115.74.191.43  unknown
    2        Content-Type: text/html;??charset="iso-8859-1"
    1        Content-Type: text/html;??charset="Windows-1252"
    1      115.75.27.99   unknown
    1        Content-Type: text/html;??charset="iso-8859-1"

    2  Connections lost ------------------------------------------------------------------------
    2   After RCPT
    1     124-12-11-231.static.tfn.net.tw 
    1     200-206-137-248.dsl.telesp.net.br 

    7  Delivered -------------------------------------------------------------------------------
    5   xxxx.528p.com
    5     foo
    2   528p.com
    2     foo
    2      root

    9  Hostname verification errors ------------------------------------------------------------
    7   Name or service not known
    3     115.74.191.43  adsl.viettel.vn
    2     41.196.187.199  host-41-196-187-199.static.link.com.eg
    2     115.75.27.99   adsl.viettel.vn
    2   Address not listed for hostname
    1     123.24.88.224  localhost
    1     222.254.86.183  localhost

    4  TLS connections (server) ----------------------------------------------------------------
    2   192.168.0.1   xxxx.528p.com
    2     Anonymous: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
    2   192.168.0.2   xxxx.528p.com
    2     Anonymous: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)


---------------------- Postfix End -------------------------
 Re: Logwatchについて ( No.7 )
????????? 2009/12/15 11:03
????????? hiyo


strangerさん、ありがとうございます。

>私のところではfc11のsrc.rpmからCentOS用のrpmを作って使っていますが
確かに自サーバーに比べ詳しいですね!

もう少し落ち着いたら(完成したら)取り組んでみたいと思います。

自サーバーの出力の中に「Relay access denied」となっているので、
送受信は無かったと思うのですがそういう事でよろしいでしょうか?

もう一つ、
>from=<hi7188s.pp5975@msa.hinet.net> to=<zz@mail2000.com.tw> proto=SMTP helo=<124.110.136.96>
の中の proto=SMTP helo= の意味が分かりません。

「proto」は何か単語の略語だと思いますが、
初心者の私にはチンプンカンプンで分かりません。

 Re: Logwatchについて ( No.8 )
????????? 2009/12/15 12:09
????????? stranger
?????§??? http://ja.528p.com/

proto
protcol プロトコル
ネットワークを介してコンピュータ同士が通信を行なう為に決めた通信手順や物理的な基準
SMTP(Simple Mail Transfer Protocol)はメールの配信プロトコル

HELO
RFC 2821によれば、クライアントが最初に発行するSMTPコマンドは EHLO (あるいは対応していなければ HELO)

RFC
Request for Comments(略称:RFC)はIETFによる技術仕様の保存、公開形式

IETF
Internet Engineering Task Force
インターネットで利用される技術の標準化を策定する組織

同じ仕様で作らなければ使えないのは初心者でもわかると思う

こんなところで良いですか
基本的なことは、net検索で情報を得るほうが、身につくと思う
 Re: Logwatchについて ( No.9 )
????????? 2009/12/19 09:14
????????? hiyo


strangerさん、ありがとうございます。

>proto
>protcol プロトコル

はプロトコルの略語でしたか

HELO、EHLO、RFCなどは何となく分かっていましたが、
protoは検索でも出てきませんでしたので・・・

本題の「踏み台」付いて特別のコメントを頂けなかったので、
特に問題無い程度と判断しておきます。


これでスレッドを閉じさせて頂きます。
皆さんどうもありがとうございました。

■ その他

ページ先頭へ


Copyright(©)2004-2018 First home server construction. All Right Reserved.