さくらのVPS ログレポート(logwatch)と不正アクセス拒否(denyhosts)のインストール

denyhosts

こちらの記事も参考に読まれると幸せになれるかも:)

さくらのVPSに(CentOSより良い)Scientific Linux6をインストール

ログレポート(logwatch)のインストールと設定

まずは、運用ログの監視です。 一日一回、各種ログを読みやすく整形してメールで送ってくれる logwatch を利用してみましょう。

$ sudo yum install logwatch

インストールできたら、ちゃんと動くか確認してみましょう。 print オプションをつけると、メールが送られずにコンソールに結果が表示されます。

$ sudo /usr/sbin/logwatch --print

設定ファイルは /etc/logwatch/conf/logwatch.conf です。 中を見てみると

# Local configuration options go here (defaults are in /usr/share/logwatch/default.conf/logwatch.conf)

とだけ書かれてますね。 デフォルト設定と違う設定にしたい場合は、このファイルに書いていってください。 デフォルトだと root 宛てにメールを送る設定になってるので以下のような行を追加して、 メールのあて先を変更してください。

MailTo = hoge@example.com

※hoge@example.com は自分のメールアドレスに適宜変更して下さい

・cron の自動実行 logwatch をインストールすると、/etc/cron.daily/0logwatch が自動で作られていて、1日一回レポートメールを送信するように なっているので特に作業は必要無いです

より詳しくは以下、参照 @IT:アクセスログの改ざんと検出方法 – Page2 http://www.atmarkit.co.jp/fsecurity/rensai/iprotect06/iprotect02.html @IT:サーバのログ監視ツールを使いこなそう(3/3) http://www.atmarkit.co.jp/flinux/rensai/root04/root04c.html

不正アクセス拒否(denyhosts)のインストール

これは、定期的に log を監視して、SSHの総当り攻撃をしてくるIPアドレスを自動的に /etc/hosts.deny に登録してくれるものです。

・インストール方法 yum リポジトリとして epel が登録されてない場合は、まず epel を登録。 ※既にepel が登録されている場合は、作業の必要は無しです。次のyum install に進んでください

$ sudo rpm --import http://download.fedora.redhat.com/pub/epel/RPM-GPG-KEY-EPEL-6 $ sudo rpm -Uvh http://download.fedora.redhat.com/pub/epel/6/x86_64/epel-release-6-5.noarch.rpm

yum で denyhosts をインストール

$ sudo yum install denyhosts

denyhosts を起動し、自動起動の設定を行う

$ sudo /etc/init.d/denyhosts start $ sudo /sbin/chkconfig denyhosts on

例外的にアクセスを許可しておきたいIP アドレスが有る場合は /var/lib/denyhosts/allowed-hosts に記述すればOKです。

不正アクセスを検知した場合 /etc/hosts.deny に追記されていくはずです。

参考サイト

VPS 借りたら、せめてこれくらいはやっとけというセキュリティ設定 http://dogmap.jp/2011/05/12/vps-security/

関連する記事:

  1. さくらのVPSに(CentOS6より良い)Scientific Linux6をインストール
  2. [Linux]ソフトウェアのインストール時にやってしまいがちな失敗10選
  3. CentOS 5.4 に munin(サーバー監視ツール) をインストール MRTG/cacti