Linux勧告ウォッチ - 2005年10月14日(金)
著者:Dave Wreski
syslogの情報に侵入されないようにすることは非常に重要だ。まずは、/var/log内のファイルを読み書きできるユーザを限定する必要がある。
それらに何が書き込まれるかにはよく注意しなければならない。特にauthファシリティに気をつける必要がある。たとえば、ログイン失敗が複数発生していたら、侵入が試みられている印かもしれない。
調べるログファイルの場所は、ディストリビューションによって異なる。Red Hatなど、”Linuxファイルシステム標準”に準拠しているLinuxシステムでは、/var/logで、メッセージやmail.log、その他を調べる。
使用しているディストリビューションにおけるログの場所は、/etc/syslog.confファイルを見るとわかる。このファイルは、さまざまなメッセージをどこに記録するかをsyslogd(システムロギングデーモン)に指示している。
ログローテイト・スクリプトまたはデーモンを設定して、ログを長時間保管できるようにすれば、調べる時間を確保できる。最新のRed Hatディストリビューションのログローテイト・パッケージを見てみるとよい。他のディストリビューションにもだいたい同様のプロセスがある。
ログファイルが不正に書き換えられていた場合は、いつその改ざんが始まり、どんな内容が改ざんされたか、手がかりを探す。長時間の不審な期間がないだろうか?バックアップテープがあれば、そこで改ざんされていないログファイルを見てみるのもよい。
一般に、侵入者は侵入の痕跡を隠すためにログファイルを改ざんするが、それでも不審な部分を探せば見つけられる。侵入者が入り口を見つけようとしたり、ルートアカウント取得のためにプログラムを悪用しようとしたりした痕跡を探し出せる。侵入者がログを書き換えるより先に、ログエントリをチェックできる場合もある。
suを使用したユーザ切り替え、ログイン試行、その他のユーザアカウント情報が含まれるauthファシリティを、他のログデータから分離しておくことも必要だ。
可能な場合には、最も重要なデータのコピーを安全なシステムに送信するようにsyslogを設定しておくとよい。そうすれば、侵入者が自分の行ったlogin、su、ftpなどの記録を消し、痕跡を隠そうとするのを防ぐことができる。詳しくはsyslog.confのmanページで@オプションの説明を参照のこと。
最後に、ログファイルは誰もそれを読まなければほとんど無意味だ。定期的にログファイルを確認し、正常時にはどのようになっているかを把握しておくとよい。それがわかっていると、普段と違うことがあれば目に付くようになる。
出典「Linux Security Howto」:
http://www.linuxsecurity.com/docs/LDP/Security-HOWTO/
| Debian | ||
| Debian:masonパッケージの初期化スクリプト欠如の修正 | ||
2005年10月6日
|
||
| Debian:cpioパッケージの複数の弱点の修正 | ||
2005年10月7日
|
||
| Debian:diaパッケージの任意のコード実行に対する修正 | ||
2005年10月8日
|
||
| Debian:masqmailパッケージの複数の弱点の修正 | ||
2005年10月8日
|
||
| Debian:shorewallパッケージのファイアウォール回避の修正 | ||
2005年10月8日
|
||
| Debian:tcpdumpパッケージのDenial of Serviceの修正 | ||
2005年10月9日
|
||
| Debian:openvpnパッケージのDenial of Serviceの修正 | ||
2005年10月9日
|
||
| Debian:up-imapproxyパッケージの任意のコード実行に対する修正 | ||
2005年10月9日
|
||
| Debian:etherealパッケージの複数の弱点の修正 | ||
2005年10月9日
|
||
| Debian:tcpdumpパッケージのDenial of Serviceの修正 | ||
2005年10月9日
|
||
| Debian:weexパッケージの任意のコード実行に対する修正 | ||
2005年10月10日
|
||
| Debian:py2playパッケージの任意のコード実行に対する修正 | ||
2005年10月10日
|
||
| Debian:graphvizパッケージの安全でない一時ファイルの修正 | ||
2005年10月10日
|
||
| Debian:xloadimageパッケージの任意のコード実行に対する修正 | ||
2005年10月10日
|
||
| Debian:xliパッケージの任意のコード実行に対する修正 | ||
2005年10月10日
|
||
| Debian:Rubyパッケージの安全性迂回の修正 | ||
2005年10月11日
|
||
| Debian:uw-imapパッケージの任意のコード実行に対する修正 | ||
2005年10月11日
|
||
| Debian:Ruby 1.6パッケージの安全性迂回の修正 | ||
2005年10月11日
|
||
| Debian:xine-libパッケージの任意のコード実行に対する修正 | ||
2005年10月12日
|
||
| Debian:Ruby 1.8パッケージの安全性迂回の修正 | ||
2005年10月13日
|
||
| Debian:hylafaxパッケージの安全でない一時ファイルの修正 | ||
2005年10月13日
|
||
| Gentoo | ||
| Gentoo:Rubyのセキュリティ迂回の弱点 | ||
2005年10月6日
|
||
| Gentoo:DiaのSVGインポートを介した任意のコードの実行 | ||
2005年10月6日
|
||
| Gentoo:RealPlayerとHelix Playerのフォーマット文字列の弱点 | ||
2005年10月7日
|
||
| Gentoo:xine-libのフォーマット文字列の弱点 | ||
2005年10月8日
|
||
| Gentoo:Weexのフォーマット文字列の弱点 | ||
2005年10月8日
|
||
| Gentoo:uw-imapのリモート・バッファ・オーバーフロー | ||
2005年10月11日
|
||
| Gentoo:OpenSSL SSL 2.0プロトコル・ロールバック | ||
2005年10月12日
|
||
| Red Hat | ||
| RedHat:重要:thunderbirdのセキュリティ更新 | ||
2005年10月6日
|
||
| RedHat:低:binutilsのセキュリティ更新 | ||
2005年10月11日
|
||
| RedHat:低:libuserのセキュリティ更新 | ||
2005年10月11日
|
||
| RedHat:中:util-linuxとmountのセキュリティ更新 | ||
2005年10月11日
|
||
| RedHat:中:rubyのセキュリティ更新 | ||
2005年10月11日
|
||
| RedHat:中:opensslのセキュリティ更新 | ||
2005年10月11日
|
||
