侵入検知とかログ解析とか
自宅サーバが韓国からパスワード総当たり攻撃を受けていた模様。幸い侵入はされていなかったようだが、やはり何かしらの対策が必要だろう。
- Snort
- ネットワーク型 IDS。シグネチャにマッチするパケット群を検知して管理者にメールする。設定によって自ホストのみの監視も可能。
- PortSentry
- ホスト型 IDS、というか IPS。ポートスキャンを検知して即座に遮断する。監視対象ポートをあらかじめ指定しておく。
- Tripwire
- ホスト型 IDS。ファイルの改竄を検知する。
- LogWatch
- ログ監視ツール。ログのサマリを作成して管理者に毎晩メールする。
- Swatch
- ログ監視ツール。パターンにマッチするログが出たら即座に管理者にメールする。
うーん、今欲しいのに一番近いのは LogWatch かなー。PortSentry を入れとけば遮断まで自動でやってくれて嬉しい気もするけど、ルータで 22 と 80 しか開けてないんだから他のポートを監視しても意味ない気もする。