侵入検知とかログ解析とか

自宅サーバが韓国からパスワード総当たり攻撃を受けていた模様。幸い侵入はされていなかったようだが、やはり何かしらの対策が必要だろう。

Snort

ネットワーク型 IDS。シグネチャにマッチするパケット群を検知して管理者にメールする。設定によって自ホストのみの監視も可能。

PortSentry

ホスト型 IDS、というか IPS。ポートスキャンを検知して即座に遮断する。監視対象ポートをあらかじめ指定しておく。

Tripwire

ホスト型 IDS。ファイルの改竄を検知する。

LogWatch

ログ監視ツール。ログのサマリを作成して管理者に毎晩メールする。

Swatch

ログ監視ツール。パターンにマッチするログが出たら即座に管理者にメールする。

うーん、今欲しいのに一番近いのは LogWatch かなー。PortSentry を入れとけば遮断まで自動でやってくれて嬉しい気もするけど、ルータで 22 と 80 しか開けてないんだから他のポートを監視しても意味ない気もする。

参考文献

• http://linuxmag.sourceforge.jp/Japanese/January2003/article274.shtml
• http://www.hawkeye.ac/micky/
• http://bitarts.jp/tech/linux/snort.html
• http://pocketstudio.jp/linux/?PortSentry
• http://www.ahref.org/logwatch.html
• http://www.atmarkit.co.jp/flinux/rensai/root04/root04b.html