サーバの運営上,知らないIPアドレスから不正なアクセスを試そうとするユーザーはそう少なくない. これは,不正アクセスを成功させないため,それらを監視するためのドキュメントである.
log は/var/log/ 以下におかれていることが多い.実際に,アクセス情報を監視するにはauth.log を見ればよい. たとえば,以下のようなコマンドを実行すれば,ssh しようとして弾かれたときのlog を見ることができる(他にも 方法はあるが,ここでは省略).
# lv auth.log | grep -i failed (-iは大文字,小文字を区別せずに grep してくれるオプション)
log ファイルに関する注意点
nmap とは他の計算機から,あるホストに向けて,どのポートが開かれているかをチェックするコマンドである. ただし,自ホスト以外には絶対に使用してはいけない.
# nmap -sS -P0 -T4 -p 65535 -oN result.txt -r -v -A [調べたいアドレス]
md5sum とはmd5 によるハッシュ・チェックサムを計算・チェックするコマンドであり, 簡単に言えば,ファイルについた製造番号みたいなものを示すコマンドである. 他のサーバ等でも以下のような作業を行い,出力された値を比較する. ただし,同じアーキテクチャで行うこと.
# which ps /bin/ps # md5sum /bin//ps 47af03627f5f3e6a5ff710875f3b01b3 /bin/ps (ps コマンドのファイルがどこにあるかを探し,それにmd5sum をかける)
who (ログイン中のユーザーを表示)
出力例(XX にはIPアドレス 等が書かれる)
mym pts/0 2012-10-05 09:34 (XXXXXXXX) ebashin pts/1 2012-10-05 13:36 (XXXXXXXX) mikataka pts/2 2012-10-05 20:06 (XXXXXXXX) takuya pts/4 2012-10-02 14:02 (XXXXXXXX) takuya pts/5 2012-10-05 20:08 (XXXXXXXX) |
w (ログインしているユーザー名と処理内容を表示する)
出力例(XX にはIPアドレス等が書かれる)
20:37:20 up 25 days, 11:53, 4 users, load average: 1.00, 1.00, 1.00 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT mym pts/0 XXXXXXXXXXXX 09:34 55:46 17.13s 16.93s emacs -nw -f me ebashin pts/1 XXXXXXXXXXXX 13:36 7:00m 0.11s 0.11s -bash mikataka pts/2 XXXXXXXXXXXX 20:06 0.00s 0.12s 0.00s sshd: mikataka takuya pts/4 XXXXXXXXXXXX Tue14 3days 15.39s 15.28s emacs -f mew |
users (ログイン名一覧を表示する)
出力例
ebashin mikataka mym takuya |
last (最近ログインしたユーザーの情報を表示する)
出力例
mikataka pts/2 XXXXXXXXXXX Fri Oct 5 20:06 still logged in mikataka pts/2 XXXXXXXXXXX Fri Oct 5 19:07 - 19:28 (00:21) |
参考文献
| 最終更新日:2012/10/05 (三上 峻) | Copyright © 2000-2012 epcore |