システムのログファイル(/var/log/messages等任意のログファイル)を監視し、特定のメッセージを検知してリアルタイムに任意のアクションを実行することができるSWATCHを導入して、不正アクセス元からのアクセスを即ブロックする。 なお、該当IPアドレスは動的IPアドレスの場合もあり、該当IPアドレスが正当なユーザに割当てられた場合に正当なユーザがアクセスできなくなってしまうので、24時間後にアクセス制限を自動的に解除するようにする。 |
|
(1)SWATCHアクションスクリプト作成 SWATCHが検知したIPアドレスからの累積不正アクセス数が3回以上になった場合または、引数でlock※と指定された場合、該当IPアドレスからのアクセスを24時間規制するシェルスクリプトを作成する ※Ping of Death等悪意のあるアクセスを即規制するためのオプション |
|
(2)SWATCH設定 |
|
(3)/var/log/messages監視設定 以下のメッセージを検知したら該当ホストからのアクセスを24時間規制するようにする Oct 21 05:20:12 fedora named[14130]: client XXX.XXX.XXX.XXX#55199: query 'VERSION.BIND/TXT/CH' denied |
|
(4)/var/log/secure監視設定※SSHサーバー構築済であること ・以下のメッセージを検知したら該当ホストからのアクセスを24時間規制するようにする Jan 24 09:32:07 fedora sshd[21171]: refused connect from ::ffff:XXX.XXX.XXX.XXX (::ffff:XXX.XXX.XXX.XXX) ・以下のメッセージを3回以上検知したら該当ホストからのアクセスを24時間規制するようにする Jan 28 19:32:10 fedora sshd[16367]: Invalid user admin from XXX.XXX.XXX.XXX |
|
(5)/var/log/vsftpd.log監視設定※FTPサーバー(vsftpd)構築済であること ・以下のメッセージを検知したら該当ホストからのアクセスを24時間規制するようにする Fri Jul 28 15:55:44 2006 [pid 28097] CONNECT: Client "XXX.XXX.XXX.XXX", "Connection refused: tcp_wrappers denial." ・以下のメッセージを3回以上検知したら該当ホストからのアクセスを24時間規制するようにする Tue May 23 16:34:10 2006 [pid 11167] [xxxxxxxx] FAIL LOGIN: Client "XXX.XXX.XXX.XXX" |
|
(6)/var/log/maillog監視設定※vpopmail構築済であること ・以下のメッセージを検知したら該当ホストからのアクセスを24時間規制するようにする Sep 25 01:02:53 fedora vpopmail[30896]: vchkpw-smtp: vpopmail user not found xxxxxxxx@:XXX.XXX.XXX.XXX Oct 4 20:09:00 fedora vpopmail[27103]: vchkpw-pop3: vpopmail user not found xxxxxxxx@:XXX.XXX.XXX.XXX Oct 4 20:10:20 fedora vpopmail[27208]: vchkpw-pop3s: vpopmail user not found xxxxxxxx@:XXX.XXX.XXX.XXX |
|
|
設定に従って各種ログファイルを監視し、不正アクセスを検知して該当ホストからのアクセスを24時間規制した場合、該当IPアドレスのwhois情報がメール通知されてくる。 ※SWATCHアクションスクリプト(swatch_action.sh)で規制IPアドレス情報通知先メールアドレスを指定した場合 |
IPアドレスの規制状態は以下のコマンドで確認可能 |
|
IPアドレスの規制解除予約状態は以下のコマンドで確認可能 |
|