新規記事投稿

フォロー記事投稿

記事のキャンセル

12月31日に、take-winさんは書きました。

＞私があんちょこにしている本にも
＞竹田さんも
＞「ｌｏｇを見てチェックせよ」と言うけれど
＞初心者には何をどう見ていいのやら

そうではなく、前に書きましたが『きちんとログを取る』ことが重要です。
きちんと取っていないログを見てもログに記録されていなければ、意味が
ありません。

ログはしつこいくらいとってください。syslog.confで記録するレベルを
変えたり、デーモンの設定を変えてもっとログを出すようにするとかです。
記録されているログから特定のパターンを見つけるのは難しいことではあり
ません。当たり前ですがログファイルに取れていないログは後から見ること
はできません。とにかく取れるだけとっておく。
＃もちろん、ディスクスペースは考慮しないといけません。

＞竹田さんですか？
＞３文字の・・・確か最初が「ｓ」だったようなドメイン
＞（ただし、サーバー名は３種類ぐらいあった）
＞のところがなんだか変なアクセスをしていた、
＞いわゆるホームページ以外の所を見ていたような・・・？

ホームページ以外のところという意味が分からないんですが、カット&ペースト
に失敗して変なURLになってしまっただけではないのですか。
サーバ名はPROXYサーバが複数あり、不調で設定を変えてアクセスした記憶は
あります。

＃該当部分をメールしてもらえればすぐ分かると思いますが。

＞こんな風に見ればいいんですか？

httpd のログを見ても httpd のことしかわからないでしょう。
例えば、sendmail の問題があってもそれは httpd のログを見てもわかりま
せん。:)

インターネットに繋ぐ場合、まずその前に、最低限、何を通して、何を通さ
ないのかを決めておくことです。
そういったセキュリティポリシーをしっかりしてから繋いでこそ意味があり
ます。

あと、ホスト単体の設定をしてもそれは、そのホスト自身を守るだけであって
ネットワークを守るのとは異なります。
ネットワークを守るのであれば、例えば、ルータでフィルタリングをするだけ
でもその効果はかなりあります。
フィルタリングでログも取るようにしていればポリシーに反したアクセスは
記録されている筈です。

例えば、137〜139あたりのポートを塞ぐだけでも、マイクロソフトネットワーク
共有サービス関係の不正アクセスを防ぐ効果があります。
ただ、フィルタリングは以下のようにするのが正しい設定です。

    原則通す。    不要なものを通さない → ×間違った設定
    原則通さない。必要なものを通す     → ○正しい設定

ホスト単体、特にサーバについても、使っているソフトウェアに問題がないか
常に気を使う必要があります。bind は、4.9.7 より古いと問題がありますし、
qpopperなどは、2.5より古いと root権限を盗めるという大きな問題もあります。
また、問題ないソフトウェアも設定の仕方自体で大きな問題になる可能性があ
ります。

よくあるパターンとして、取り敢えずこれくらいだけ書きます。

  ・予期していない無権限使用ができるサービスが存在する。
    電子メール不正中継なんかもこのパターン
    例） 外部からのアクセスを考慮してしないポートを空けている。
         外部からの DNSのゾーン転送を許可している。
         →実は大きな問題。デフォルトでは許可されている。禁止にする
           のは簡単ですが以外と知られていない。

  ・telnet などの login 失敗をきっちり記録していない。
  ・finger, sendmailの expn,vrfy など攻撃のヒントとなる情報の存在
  ・ネットワークに平文パスワードを流してしまっている。

インターネットが実験網のような閉じたネットワークではなく広く世界に
開かれている以上、わからないうちは繋がないというのも一つの防御方法
です。繋ぐにしても、わかるところに頼む。わからないうちは閉じたネット
ワークで運用してノウハウがたまってからインターネットに繋ぐなどでも
決して遅くはありません。
商用ベースに移行したインターネットでは、とにかく先に繋いでノウハウを
つけようなんてのでは、先に攻撃を受けてトラブルに巻き込まれるのが現実
です。(実験できる環境がないのも問題ですが)

＃ IW98でも『無免許で車を運転しているような状態』で表現されていました。
＃ もちろん、インターネットには免許などはなく初心者でも使えるのですが、
＃ 技術が伴わないうちは、『免許がないならタクシーに乗ればよい（技術を
＃ 持つ人に頼む』ように(技術を)持っていない人が取れる自衛策はあるはず
＃ だということでした。

インターネットへの接続はコストが安くなるなどして数年前よりもハードル
が低くなっていますが、運用のコストといった目に見えない部分は、残念なが
ら数年前よりもずっと難しくなっています。

私自身がインターネットに触れたのは、7年くらい前、会社に入ってでも4年
くらいと浅い方ですが、その頃よりも確実にハードルは高くなっていると思
います。

＃ うちの会社自体のインターネットへの取り組みは、正確な時期は知りませんが
＃ UUCP時代を入れると 10年くらいになるのかなぁ。
＃ その頃は ses.co.jpでなく、ses-inc.junet だったようですが。:)
＃ 伝え聞くところによるとその頃がある意味一番幸せだったと聞いています。
＃ 確かに、SPAM なんてないだろうし。

実際、安易な接続や初心者管理者の増加がかなり問題になってきており、更に
危惧すべきことはクラッカー達には日本の多くのサイトはセキュリティが甘い
というのが広く知られており、日本のそういったサイトを攻撃するのが流行に
なっているということを忘れてはいけません。

実際、クラッキングツールの説明のサンプルが日本のサイトへの攻撃例って
なってたりするのが現状です:-(

最近だと安易にインストールされた TurboLinux なサイトが踏台にされるパ
ターンが結構多い気がします。TurboLinux が OS 的に悪いわけではありません。
マスコミなど Post MicroSoftで取り上げられる Linux が急速に普及し、
TurboLinux だと簡単に運営できると勘違いする初心者管理者が増えた結果だと
思います。
もちろん、FreeBSDでも同じことです。インストール本などを読んで設定した
だけの状態の問題なんかは少し前に ML でも話題になりました。

で、ログに話を戻しますが、うちのルータでは、以下のようなログを残してます。

Dec 27 00:10:35 *.ses.co.jp 202: %SEC-6-IPACCESSLOGP: 長いので折り返し
    list * denied tcp *.*.*.*(1718) -> *.*.*.*(111), 1 packet
Jan  1 14:06:09 *.ses.co.jp 202: %SEC-6-IPACCESSLOGP: 長いので折り返し
    list * denied tcp *.*.*.*(2350) -> *.*.*.*(143), 1 packet

＃なお、うちではログをきちんと残せないルータは使いません。

また、ホストのログでは、tcp_wrapperで以下のようなログを残すようにしてます。

Jan  1 02:49:26 *.ses.co.jp fingerd[3495]: refused connect from *.*.*.*

リモートアクセスのログはこんな感じ。（わざと失敗して残しました）

Jan  3 02:59:05 *.ses.co.jp login[29116]: 1 LOGIN FAILURE from *.ses.co.jp, take
da

例えば、何回も失敗していれば、パスワードアタックされているかもと予測はつきます。