 Re: 上りスピード ( No.11 ) |
 |
- æ¥æï¼ 2006/06/24 08:13
- ååï¼ ももんが
<[email protected]>
- >管理人 様
>コンテンツを増やしたいのですが、『サーバー構築』に視点を置くと殆ど網羅してしまった様な気がしてます。
膨大な量のコンテンツありますよね。少なくとも、入門本などだせそうな感じですよね。でたら、買います。(笑)
>何かアイデアがあったらご教示下さい。
え!リクエストしてしまっていいんですか?それじゃ遠慮なく。
1.この掲示板で一時期、海外からの訳の判らない書きこみが多かったじゃないですか?
(多分、自動巡回ツールかなにかで、自分のリンクを貼って行き、外部リンクを増やしている)
最近そういう書きこみが無くなってきましたよね。これはiptablesかなにかで、アクセス拒否しているの
でしょうか?
そこら辺のテクニックを教えていただけるとありがたいです。
実はfedorasrv.comさんの方で、iptablesを使った海外からのアクセス拒否方法が記載してあり、
私のサーバーにも実装しているのですが、アクセスログを見ると海外からのアクセスは減っていない。
iptablesはそこそこ機能しているみたいなのに。。。という感じなんですが。
2.あと、これはサーバー構築とは、ちょっと違うのかな?という感じもするのですが、
ログの監視方法の基本って、どういうことをすればよいのかわからない感じです。
管理人さんが、いつも行なっているログ監視方法などを教えていただける
とうれしいです。(もしかしたら、監視パターンなんか存在しないで、その都度
対応しなさい、とうい感じなのかも知れませんが、それすら判らない)
一応、LogWatchから、1日に1回ログのダイジェスト版のメールで届くので、
なんとなく見ているのですが、どうも危険度とか、サーバーで何がおきているのかが判りません。
どういうログがでたら、どいうアクションを起こせば良いのかとかも判らないです。
いつも、まーー大丈夫だろう!と勝手に解釈しています。(笑)
|
| Re: 上りスピード ( No.12 ) |
|
- æ¥æï¼ 2006/06/24 08:55
- ååï¼ 管理者
- ももんがさん、こんにちは。
> コンテンツを増やしたいのですが、『サーバー構築』に視点を置くと殆ど網羅してしまった様な気がしてます。
>> 膨大な量のコンテンツありますよね。少なくとも、入門本などだせそうな感じですよね。でたら、買います。(笑)
自費出版の方法も分からないですし、時間も追われそうなのでたぶんありえないですね(笑)
でも、出したら買ってくださいね(笑!笑)
> 1.この掲示板で一時期、海外からの訳の判らない書きこみが多かったじゃないですか?
> (多分、自動巡回ツールかなにかで、自分のリンクを貼って行き、外部リンクを増やしている)
> 最近そういう書きこみが無くなってきましたよね。これはiptablesかなにかで、アクセス拒否しているの
> でしょうか?
> そこら辺のテクニックを教えていただけるとありがたいです。
良く、ご存知でしたね!!
当時は投稿される度に手動で削除していたのですが、あまりの量に対応策を考えました。
まず、iptablesでは行っていません。理由は接続元のIPアドレスが偽装されている可能性がある事。
なぜ、そう判断したかと言うと同一内容で同一時刻なのに当サイトの掲示板「質問」「雑談」に書き込まれたこと。
(1回だけではなく数十回もです。)
その1
では、どの様に対応を取ったかと言いますと、投稿内容の一部を抜粋して外部ファイル化し、その内容と一致する書き込みがあった場合、あるサイトへリダイレクションしています。
あるサイトへのリダイレクション場所は、警視庁に送っています!!(笑)
他の書き込みがある度に、そのキーワードを外部ファイルに登録している次第です。
その2
掲示板の書き込み時に、以前は「スレッドを生成」もしくは「返信する」ボタンで書き込みをしていましたが、
現在は「確認画面」を設けています。
これを行う事により、登録するには2段階送信しなければなりません。
> 2.あと、これはサーバー構築とは、ちょっと違うのかな?という感じもするのですが、
> ログの監視方法の基本って、どういうことをすればよいのかわからない感じです。
> 管理人さんが、いつも行なっているログ監視方法などを教えていただける
> とうれしいです。(もしかしたら、監視パターンなんか存在しないで、その都度
> 対応しなさい、とうい感じなのかも知れませんが、それすら判らない)
私も、ももんがさんと同じ位にしか考えていません。
取り合えず、毎日送信されてくる「logwatch」のログを確認しています。
1番重視しているのは「SSHD」へのログインですね。
自分が何回ログインしたのか?と報告の数を比較しています。
(そもそも、鍵方式とLAN内・指定した外部IPからしか接続できない様にしているので問題ないと思いますが・・)
「logwatch」のログはこれだけです。
次に、メールログです。
「/var/log/maillog」から「status=sent」キーワードが書かれている行を抜き出し、自分が送った覚えがない物を注視しています。
(そもそも、不正リレー等の設定を行っているので問題ない筈ですが・・)
私が、サーバを運営する上で一番気を使っているのは、自サーバが被害を受ける事よりも自サーバが第三者に危害を加えない様にする事を第一に考えています。
なので、「外部→自サーバ」よりも「自サーバ→外部」に関連するログを監視しています。
あ!ももんがさんのご質問の監視パターンに何も触れていませんでしたね。
強いて言えば「自サーバ→外部」に関連するメールログの「status=sent」でしょうか?
 |
| Re: 上りスピード ( No.13 ) |
|
- æ¥æï¼ 2006/06/24 09:10
- ååï¼ ももんが
<[email protected]>
- >管理人 様
早速回答してもらって有難うございました。(リダイレクト→警視庁には爆笑してしまいました)
ログの件了解しました。サーバー設定上、セキュリティーを考慮しておけば、それ程神経質にならなくても
良い感じですね。(多分、万全とは誰もいいきれないのでしょうが。。。)私も回答をいただいたログを
監視するようにしてみます。
|
| Re: 上りスピード ( No.14 ) |
|
- æ¥æï¼ 2006/06/25 01:00
- ååï¼ moja
- はじめてここを訪れたのは・・・FedoraCore4のセットアップの時だったかな
そのときに見つけたSSHDへの不正アクセスを集計するスクリプトを見て作ったものなのですが、
1.不正アクセス元をMySQLに登録
A.HTTPへの不正アクセス /var/log/httpd/badaccess_log とかの名前で抽出
B.SSHDへの不正アクセス /var/log/secure に記録されるのを参照
C.SMTPへの不正アクセス /var/log/secure に記録されるのを参照
D.FTPへのAnonymous以外の不正アクセス
2.一定期間同一IPからのアクセスを監視
MySQLレコードから同一IPを検索して、
Y.見つかったらカウンターを上げる
N.無かったらそのIPアドレスを登録
一ヶ月ないし一週間単位で登録されたIPアドレスからのアクセスが無い場合はレコードを削除
3.リミットを超えたものを一定期間締め出す
1).一ヶ月か一週間単位、MySQLレコードを読み込み、リミット超えしたレコードを抽出
2).iptablesにユーザーチェインでリミット超えしたIPアドレスを登録
一時期、お隣の行儀の悪いお国とその隣の隣の行儀の悪い国からのアクセスがものすごかったですが、
一気に減りました(笑
|
| Re: 上りスピード ( No.15 ) |
|
- æ¥æï¼ 2006/06/25 02:10
- ååï¼ ももんが
<[email protected]>
- >お隣の行儀の悪いお国とその隣の隣の行儀の悪い国
あとですね、コアラが住んでる国からも多いんですよ。。。
データベースとかサーバーを使いこなせるとアイデア次第で
色々できるんですね。うらやましいっす。
いつかは、私も使いこなせるようになってみせます。(笑)
それからCoCoCho9オンライン楽しみにしてますよ。(どんなんだろ?)
|
上りスピード