Home Update クッキー及びWeb ビーコンについて



アカウントの管理

iplog によるポートスキャンの監視

iplog を使う事によって外部からのポートスキャンを監視する事ができます。




■iplog のダウンロード

Version iplog-2.2.3
Homepage http://ojnk.sourceforge.net/
Download http://prdownloads.sourceforge.net/ojnk/iplog-2.2.3.tar.gz
Install iplog-2.2.3.tar.gz



■iplog のインストール

iplog の動作条件として、libpcap がインストールされている必要があります。RPMパッケージがインストールされているか確認しておきます。

# rpm -qa | grep libcap
libcap-1.10-20



もし、インストールされていない場合は、以下のURLからダウンロードしてきます。

⇒http://www.rpmfind.net/linux/rpm2html/search.php?query=libcap

$ wget http://〜/iplog-2.2.3.tar.gz
$ cd /usr/local/src
$ tar xzvf
iplog-2.2.3.tar.gz
$ cd iplog-2.2.3
$ ./configure
$ make; make install

make 時に以下のようなエラーが発生したので、iplog_options.c を開いて、443行目あたりから50行分ぐらいのコメント部分をまとめて削除します。以下のような感じに編集しておけばOKです。

gcc -DHAVE_CONFIG_H -I. -I. -I.. -g -O2 -D_REENTRANT -c iplog_options.c iplog_options.c: In function `print_help': " 文字での終端を欠いています

# cd iplog-2.2.3/src
# vi iplog_options.c

static void print_help(void) {
mysyslog(
IS_DEFAULT(LOG_TCP), IS_DEFAULT(LOG_UDP), IS_DEFAULT(LOG_ICMP),
IS_DEFAULT(LOG_IP), IS_DEFAULT(LOG_DEST), IS_DEFAULT(DNS_CACHE),
IS_DEFAULT(GET_IDENT), IS_DEFAULT(TCP_RES), IS_DEFAULT(UDP_RES),
IS_DEFAULT(ICMP_RES), IS_DEFAULT(NO_RESOLV), IS_DEFAULT(VERBOSE),
IS_DEFAULT(FOOL_NMAP), IS_DEFAULT(SCANS_ONLY), IS_DEFAULT(SYN_FLOOD),
IS_DEFAULT(LOG_FRAG), IS_DEFAULT(TRACEROUTE), IS_DEFAULT(PING_FLOOD),
IS_DEFAULT(SMURF), IS_DEFAULT(BOGUS), IS_DEFAULT(PORTSCAN),
IS_DEFAULT(UDP_SCAN), IS_DEFAULT(FIN_SCAN), IS_DEFAULT(SYN_SCAN),
IS_DEFAULT(XMAS_SCAN), IS_DEFAULT(NULL_SCAN));
exit(0);




■/etc/iplog.conf の編集

 iplog.conf を新規に作成します。iplog はデフォルトでは全てのポートのログを記録するようになっている。なので、記録する必要のないポートを無視するように設定する。また、記録する必要のないネットワークからの入出力を無視するようにしておく。ログファイルは指定しなければ、デフォルトで、/var/log/messages に吐き出されます。set log_ip では、IPアドレスも記録するかどうかを決めます。細かな設定は、man ページを確認するか、ソースパッケージに入っている、example-iplog.conf を参照してください。

set ignore_dns ---> /etc/resolv.conf に記述されているネームサーバーのDNSトラフィック
               は無視する。

# vi /etc/iplog.conf
user                    iplog
group                   nobody
logfile                 /var/log/iplog
pid-file                /var/run/iplog/iplog.pid
facility                log_daemon
priority                log_info
interface               eth0
set log_ip              true
set ignore_dns

ignore                  tcp sport 25
ignore                  tcp dport 25
ignore                  udp sport 53
ignore                  udp dport 53
ignore                  tcp sport 110
ignore                  tcp dport 110
ignore                  tcp sport 80
ignore                  tcp dport 80

ignore                  tcp from 172.16.50.0/27
ignore                  udp from 172.16.50.0/27
ignore                  icmp from 172.16.50.0/27


■iplog の起動

新規にiplog ユーザを作成し、iplog の権限で動作するようにします。

# useradd -s /sbin/nologin -d /dev/null iplog
# mkdir /var/run/iplog
# chown iplog.nobody /var/run/iplog

以下のコマンドを実行します。

# /usr/local/sbin/iplog
# ps aux | grep iplog
iplog 16066 0.0 0.1 32552 860 ? Ssl 20:27 0:00 /usr/local/sbin/iplog

動作確認をするには、自分で nmap などでポートスキャンしてみます。ログには以下のように出力されます。

# cat /var/log/iplog
Sep 6 20:08:59 TCP: port 1484 connection attempt from ns3.kororo.jp:42190
Sep 6 20:08:59 TCP: port 1436 connection attempt from ns3.kororo.jp:42190
Sep 6 20:08:59 TCP: port 325 connection attempt from ns3.kororo.jp:42190
Sep 6 20:08:59 TCP: port 663 connection attempt from ns3.kororo.jp:42190
Sep 6 20:08:59 TCP: port 771 connection attempt from ns3.kororo.jp:42190
Sep 6 20:08:59 TCP: SYN scan detected [ports 1484,1436,325,663,
771,310,905,2017,738,5632,...] from ns3.kororo.jp [port 42190]
Sep 6 20:09:01 UDP: dgram to ntp from 172.16.50.29:123 (48 data bytes)

■iplog の自動起動

/etc/rc.d/init.d/iplog を作成します。

# vi /etc/rc.d/init.d/iplog

#!/bin/sh
#
# Startup script for iplog
#
# chkconfig: 345 85 15
# description: iplog

# Source function library.
. /etc/rc.d/init.d/functions

case "$1" in
start)
echo -n "Starting iplog:"
/usr/local/sbin/iplog
echo
;;
stop)
echo -n "Shutting down iplog:"
killproc iplog
echo
;;
restart)
$0 stop
$0 start
;;
*)
echo "Usage: $0 {start|stop|restart}"

exit 1
esac

exit 0

サービスに追加します。

# chmod +x /etc/rc.d/init.d/iplog
# chkconfig --add iplog
# chkconfig --level 35 iplog on


■ログのローテーション

ログのローテーションを行っておきます。

# vi /etc/logrotate.d/iplog
/var/log/iplog {
  weekly
  rotate 4
  missingok
  postrotate
        /bin/killall -HUP `cat /var/run/iplog.pid 2>/dev/null` 2> /dev/null
  endscript
}







TOPに戻る

Sponcerd Link


Search
 
Web サイト内
Rental Server

【レンタルサーバのXbit】 低価格・高品質のビジネスクオリティー。300メガ1,050円〜30分で サービススタート可能!


容量300MB、月額125円、高性能なサーバが日本最大級のバックボーンに直結。
さくらのレンタルサーバ



当サイトはLinux自宅サーバーの構築を目的としたサイトです。
当サイトに関するご意見、ご要望等は、こちらのメールアドレスよりお願いします。
Beginning | Introduction | Installation | Server |
Security | Tips | Guest Book | Related-Sites
Copyright©2003-2006 KORO All Rights Reserved.
総計:
今日:
昨日: