おぼんどすー、如何お過ごしでしょうか。
今回はLogwatchのカスタマイズをしようと思います、ike-daiの日記さんを参考にHTTPのログにアクセス元のIPを付加するようにしました。
参考にさせて頂いたウェブにパッチがあって、LogwatchのPerlスクリプトにパッチをあてるのですが、Patchってコマンドは今回初めて知りました。
しっかりバックアップを取って、おそるおそる始めて使うコマンドでパッチを当ててLogwatchを出力してみたら、きっちりとIPアドレスも表示されるようになりました。
すごい。
後はネットサーフィンをしていて見つけたものですが、grepの使い方。
grep ” 404″ /var/log/httpd/access_log* | cut -f 1 -d ” ” | sort | uniq -c
404エラーが多いアクセス元を特定します、パイプという複数のコマンドを繋げる手法ですが、まずグレップで抽出して、カットで切ります、どこを切るかというのをオプションで指定、んでソート、並べ替えですね。
最後にユニークなものの個数を数えます。
当然、404の数字を変えて、503だって検出できます。
日付を指定してやれば、いついつの状況とか指定する事もできますし、IPアドレスを指定してアクセスがあった時間とかもできます。
管理には必須テクらしい。
サーバを借りて初めてアクセス解析しようとした時は、Apacheのログをscpで受け取って、OfficeOpen calcで表示させてたんだから、色々と変わったもんだ。
んで、上で紹介したgrepとかlogwatchで見つけた悪そうなやつらをだいたいIPひろばとかaguseで調べてみると、IPひろばローカルでブラックリストに入ってたり、aguseだとspamhouseに登録されているとかもわかります。
そしてブラックリストに入ってたりすると、友達になる訳でもなく、たけけんはiptablesでdropしています、範囲はネットワーク毎だったり、IPだけだったり。
IPひろばで調べた時に
46.166.137.0 – 46.166.137.255
という表記だったりしますが、iptablesにはプレフィックスで記述しないといけません、この場合は
46.166.137.0/24になります。
これはサブネット計算という語句でググったらたくさんでてきます。
とりあえず最近知ったことですが、セキュリティを高めるってことで、サーバーのセキュリティと自分の意識も高めるってことが重要なのではないでしょうか的な今日この頃です。
ざっと並べると
ログチェック、アクセス元を調べる、IPを詳しく調べる、ドロップ
という感じですが、1台だと大した労力も必要ではないですし、勉強にはもってこいですよ。
トップ絵はお盆ってことで、FF10のアーロンです。
