この情報は古い可能性があります!
いろいろな進入検知ツールがあるますが、今回はiplogとswatchで
検知したらメールでお知らせってのをやろうかと思います。
iplogはgcc4な人は恐らくmake時にこけるかもしれないので、
このパッチを使うと幸せになれるかもしれません。
iplogインストール
cd /usr/local/src
wget http://jaist.dl.sourceforge.net/sourceforge/ojnk/iplog-2.2.3.tar.gz
tar zxvf iplog-2.2.3.tar.gz
cd iplog-2.2.3
wget http://ftp.momo-i.org/pub/other/iplog-2.2.3-make.patch.gz
gzip -d iplog-2.2.3-make.patch
patch -p1 < iplog-2.2.3-make.patch
./configure
make
make install
swatchのインストール
cd /usr/local/src
wget http://jaist.dl.sourceforge.net/sourceforge/swatch/swatch-3.2.3.tar.gz
tar zxvf swatch-3.2.3.tar.gz
cd swatch-3.2.3
perl Makefile.PL
make
make install
swatch用の設定ファイル
mkdir -p /etc/swatch
cd /etc/swatch
vi iplog
watchfor /SYN scan/
echo
mail= webmaster@example.com
mail= keitai@example.com
watchfor /port scan/
echo
mail= webmaster@example.com
このようにwatchfor // で正規表現が使えるようです。
またmail=メールアドレスは何行でも追加可能のようです。
詳細設定については以下のコマンドで確認可能です。
perldoc swatch
起動時に勝手に起動されるように設定
/etc/rc.local
/usr/local/sbin/iplog
/usr/bin/swatch --config-file=/etc/swatch/iplog --tail-file=/var/log/iplog &
その他にも色々応用できそうですね。
コメントを追加