Aimail
  iplogで不正アクセスを監視する

常時接続が一般的になると不正アクセスが気になりますね。
iplogはポートを監視し、ポートスキャンを検知することが可能です。

http://ojnk.sourceforge.net/ からrpmファイルをダウンロードしてきます。

ソース、RPM どちらもダウンロード可能ですが、新しいバージョンのものはソースしかないようです。

今回はrpmからインストールしてみました。
インターネット上には様々なサイトでRPMが公開されてますのでそちらで新しいバージョンのものを探すのもいいかもしれません。

iplog-2.2.1-1_RH7.i386.rpm の場合だと

# rpm -ivh iplog-2.2.1-1_RH7.i386.rpm

で簡単にインストール完了ですね。



少し環境設定をしてやります。 /etc/iplog.conf を編集することにより、ログファイルの指定や監視対象外とするポート番号を指定できます。

例えば私はntpサーバーで定期的に時刻設定しているのですが、このログまで監視する必要ない場合は

ignore udp dport 123
を追加してやります。ntpはudpの123番ポートを使用しているからです。
またiplogのログファイルを /var/log/iplog
とするには

logfile /var/log/iplog

と記述します。


# /etc/init.d/iplog start
で開始されます。


さて試してみましょう。nmapで試してもいいですが、今回はwindowsクライアントから
Internet Test Tools というものを用いて行ってみました。

結果は以下のようになります。

Mar  1 09:28:20 iplog started.
Mar  1 09:28:42 ICMP: echo from 192.168.0.5 (8 bytes)
Mar  1 09:28:43 last message repeated 1 times
Mar  1 09:28:43 TCP: port 2 connection attempt from 192.168.0.5:3522
Mar  1 09:28:43 TCP: port 4 connection attempt from 192.168.0.5:3525
Mar  1 09:28:43 TCP: port 2 connection attempt from 192.168.0.5:3522
Mar  1 09:28:43 TCP: port 3 connection attempt from 192.168.0.5:3524
Mar  1 09:28:43 TCP: port 4 connection attempt from 192.168.0.5:3525
Mar  1 09:28:44 TCP: tcpmux connection attempt from 192.168.0.5:3523
Mar  1 09:28:44 TCP: port 3 connection attempt from 192.168.0.5:3524
Mar  1 09:28:44 TCP: port 8 connection attempt from 192.168.0.5:3529
Mar  1 09:28:44 TCP: port 4 connection attempt from 192.168.0.5:3525
Mar  1 09:28:44 TCP: echo connection attempt from 192.168.0.5:3528
Mar  1 09:28:44 TCP: rje connection attempt from 192.168.0.5:3526
Mar  1 09:28:44 TCP: port 6 connection attempt from 192.168.0.5:3527
Mar  1 09:28:44 TCP: discard connection attempt from 192.168.0.5:3530
Mar  1 09:28:45 TCP: port 12 connection attempt from 192.168.0.5:3533
Mar  1 09:28:45 TCP: port scan detected [ports 2,4,3,1,8,7,5,6,9,12,...] from 19
2.168.0.5 [ports 3522,3525,3524,3523,3529,...]
Mar  1 09:30:24 TCP: port scan mode expired for 192.168.0.5 - received a total o
f 372 packets (10416 bytes).


このように表示されます。






       [へなちょこlinuxのコーナーへ]    [ホームへ]



転職登録で最適なお仕事をご紹介します