インストール

aptでインストールする。

# apt-get install syslog-ng

設定はsyslog.confから引き継いでいるようなので修正はなし。

リモートログを受信

ルータなどのログをホスト毎に分ける。
/var/log/remote/(IPアドレス).logに保存するように設定する。

# vi /etc/syslog-ng/syslog-ng.conf

# remote log
source s_remote { udp(ip("0.0.0.0") port(514)); };
destination d_remote { file("/var/log/remote/$HOST.log" perm(0640)); };
filter f_remote { level(info..emerg); };
log { source(s_remote); filter(f_remote); destination(d_remote); };

設定ファイルの確認。エラーがあれば出力される。

# syslog-ng -s

再起動して設定を反映させる。

# /etc/init.d/syslog-ng restart

リモートログのlogrotate設定

# vi /etc/logrotate.d/syslog-ng

/var/log/remote/*.log {
   rotate 4
   missingok
   notifempty
   weekly
}

総当たり攻撃(Brute force attack)対策

FTPやPOP3サーバに指定回数ログインに失敗するとiptablesでアクセスを拒否するようにする。

iptablesの設定スクリプトにチェーンを追加するように修正。

# チェーンの初期化
iptables -F

# ポリシーの設定 (デフォルトで拒否)
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# 新規チェーンの作成
iptables -N ATTACKCHEAK
iptables -N ATTACKDROP
# ATTACKDROPチェーンはログをとってDROP
iptables -A ATTACKDROP -j LOG --log-prefix 'iptables attack-drop: '
iptables -A ATTACKDROP -j DROP

# LoopBack
iptables -A INPUT -i lo -j ACCEPT

# セッション確立後のパケット疎通は許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# ATTACKCHEAKチェーンで評価
iptables -A INPUT -p tcp -m multiport --dports 21,110,995 -j ATTACKCHEAK

# 公開ポート
iptables -A INPUT -p tcp -m state --state NEW --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW --dport 443 -j ACCEPT

(以下公開ポートの設定)

スクリプトの修正内容。

• ATTACKCHEAK、ATTACKDROPチェーンを作成。
• ATTACKDROPチェーンではすべてDROPする。
• 公開ポートの前にATTACKCHEAKチェーンで評価する。

アクセスを制限するIPを追加するとき

# iptables -A ATTACKCHEAK -p tcp --dport (ポート) -s (IPアドレス) -j ATTACKDROP

解除するとき

# iptables -D ATTACKCHEAK -p tcp --dport (ポート) -s (IPアドレス) -j ATTACKDROP

ログインに失敗したときに実行するスクリプトの作成。

# vi /usr/local/syslog-ng/filter_brute_force.pl

#!/usr/bin/perl

$subject = 'syslog-ng';
$mailto = 'root@parlia.net';
$mailfrom = 'root@parlia.net';
$sendmail = '/usr/sbin/sendmail';
$iptables = '/sbin/iptables';
$logfile = '/usr/local/syslog-ng/log.txt';

use Jcode;

while (<STDIN>) {
  if (/ proftpd\[\d*\]:.*\[(\d+\.\d+\.\d+\.\d+)\]/) {
    $port = '21';
    $ip = $1;
  } elsif (/ pop3d:.* ip=\[.*:(\d+\.\d+\.\d+\.\d+)\]/) {
    $port = '110';
    $ip = $1;
  } elsif (/ pop3d-ssl:.* ip=\[.*:(\d+\.\d+\.\d+\.\d+)\]/) {
    $port = '995';
    $ip = $1;
  } else {
    exit;
  }

  if ($ip =~ /^192\.168\./) { exit; }

  $count = 0;
  open(LOG, "+<$logfile");
  while ($line = <LOG>) {
    if ($line =~ /IP=([\d\.]+) PORT=(\d+)/) {
      if ($ip eq $1 && $port eq $2) {
        $count++;
      }
    }
  }
  print LOG &get_time()." IP=$ip PORT=$port\n";
  close(LOG);

  $ret = `$iptables -n -L ATTACKCHEAK | grep -F '$ip' | grep -F 'dpt:$port'`;
  if ($count >= 2 && !$ret) {
    system("$iptables -A ATTACKCHEAK -p tcp --dport $port -s $ip -j ATTACKDROP");

    $message = "ATTACKCHEAKチェーンに追加\n";
    $message .= "ポート: $port\n";
    $message .= "IP: $ip\n";
    $message .= "\n$_";

    Jcode::convert(\$subject,jis);
    Jcode::convert(\$message,jis);

    open(MAIL,"| $sendmail -t");
    print MAIL "To: $mailto\n";
    print MAIL "From: $mailfrom\n";
    print MAIL "Subject: $subject\n";
    print MAIL "MIME-Version: 1.0\n";
    print MAIL "Content-type: text/plain; charset=ISO-2022-JP\n";
    print MAIL "Content-Transfer-Encoding: 7bit\n";
    print MAIL "$message\n";
    close(MAIL);
  }
}

sub get_time {
  @time = localtime(time());
  return sprintf("%04d-%02d-%02d %02d:%02d:%02d", $time[5]+=1900, $time[4]+=1, $time[3], $time[2], $time[1], $time[0]);
}

ログインに失敗したら/usr/local/syslog-ng/filter_brute_force.plを実行するように、/etc/syslog-ng/syslog-ng.confに設定を追加する。

# vi /etc/syslog-ng/syslog-ng.conf

# Brute force attack
destination d_attack { program("/usr/local/syslog-ng/filter_brute_force.pl"); };
filter f_ftp_attack { program("proftpd") and (match("Login failed") or match("no such user found")); };
filter f_pop3_attack { (program("pop3d") or program("pop3d-ssl")) and match("LOGIN FAILED"); };
log { source(s_all); filter(f_ftp_attack); destination(d_attack); };
log { source(s_all); filter(f_pop3_attack); destination(d_attack); };

参考サイト

syslog-ngの導入

# /usr/lib/apache2/suexec -V
 -D AP_DOC_ROOT="/var/www"
 -D AP_GID_MIN=100
 -D AP_HTTPD_USER="www-data"
 -D AP_LOG_EXEC="/var/log/apache2/suexec.log"
 -D AP_SAFE_PATH="/usr/local/bin:/usr/bin:/bin"
 -D AP_UID_MIN=100
 -D AP_USERDIR_SUFFIX="public_html"

apache2-suexec-customパッケージがあれば、ドキュメントルートを簡単に変更できるが、Ubuntu8.04にはないので以下の方法を試す。

• apache2.2-commonのビルド
• 「--bind」オプションをつけてmount
• バイナリエディタでsuexecを修正

apache2.2-commonのビルド

suexecはapache2.2-commonパッケージに含まれている。

# dpkg -S /usr/lib/apache2/suexec
apache2.2-common: /usr/lib/apache2/suexec

ビルドの準備。

$ sudo apt-get build-dep apache2.2-common
$ apt-get source apache2.2-common
$ cd apache2-2.2.8/

fakerootがないと、ビルドでエラーが出るのでインストールする。

$ sudo apt-get install fakeroot

suexec-docrootを変更する。ここでは/homeとした。

$ vi debian/rules

              --with-suexec-docroot=/home \

ビルドする。

$ dpkg-buildpackage

できたパッケージをインストールする。今回はファイルだけコピーすることにする。

$ sudo cp debian/apache2.2-common/usr/lib/apache2/suexec /usr/lib/apache2/

確認

# /usr/lib/apache2/suexec -V
 -D AP_DOC_ROOT="/home"
 -D AP_GID_MIN=100
 -D AP_HTTPD_USER="www-data"
 -D AP_LOG_EXEC="/var/log/apache2/suexec.log"
 -D AP_SAFE_PATH="/usr/local/bin:/usr/bin:/bin"
 -D AP_UID_MIN=100
 -D AP_USERDIR_SUFFIX="public_html"

バージョンアップ時に更新されないようにaptでholdする。

# echo apache2.2-common hold | dpkg --set-selections

「--bind」オプションをつけてmount

「--bind 」オプションをつけて/homeを/var/www/homeにマウントする。

# mkdir /var/www/home
# mount --bind /home /var/www/home

apacheのDocumentRootを変更する。

# vi /etc/apache2/sites-available/default

<Directory /var/www/home/user/public_html>

    DocumentRoot /var/www/home/user/public_html

再起動時にmountされるようにfstabに記入する。

# vi /etc/fstab

/home /var/www/home         none    bind            0       0

バイナリエディタでsuexecを修正

バイナリエディタでsuexecのバイナリの値を変更する。

suexecをコピーする。

# cd /usr/lib/apache2/
# cp -p suexec suexec.test

バイナリエディタで「/var/www」を「/home...(nullを3つ)」に修正。vimのバイナリモードを使った。

# vi -b suexec.test

修正前

00019a0: 69 64 20 75 69 64 3a 20 28 25 6c 64 29 0a 00 2d  id uid: (%ld)..-
00019b0: 56 00 77 77 77 2d 64 61 74 61 00 2f 76 61 72 2f  V.www-data./var/
00019c0: 77 77 77 00 20 2d 44 20 41 50 5f 44 4f 43 5f 52  www. -D AP_DOC_R
00019d0: 4f 4f 54 3d 22 25 73 22 0a 00 20 2d 44 20 41 50  OOT="%s".. -D AP

修正後

00019a0: 69 64 20 75 69 64 3a 20 28 25 6c 64 29 0a 00 2d  id uid: (%ld)..-
00019b0: 56 00 77 77 77 2d 64 61 74 61 00 2f 68 6f 6d 65  V.www-data./home
00019c0: 00 00 00 00 20 2d 44 20 41 50 5f 44 4f 43 5f 52  .... -D AP_DOC_R
00019d0: 4f 4f 54 3d 22 25 73 22 0a 00 20 2d 44 20 41 50  OOT="%s".. -D AP

確認する。

# ./suexec.test -V
 -D AP_DOC_ROOT="/home"
 -D AP_GID_MIN=100
 -D AP_HTTPD_USER="www-data"
 -D AP_LOG_EXEC="/var/log/apache2/suexec.log"
 -D AP_SAFE_PATH="/usr/local/bin:/usr/bin:/bin"
 -D AP_UID_MIN=100
 -D AP_USERDIR_SUFFIX="public_html"

修正したsuexecと入れ替える。

# mv suexec suexec.orig
# mv suexec.test suexec

"バイナリ編集(xxd)モード（vim -b での起動、もしくは *.bin で発動します）
augroup BinaryXXD
        autocmd!
        autocmd BufReadPre  *.bin let &binary =1
        autocmd BufReadPost * if &binary | silent %!xxd -g 1
        autocmd BufReadPost * set ft=xxd | endif
        autocmd BufWritePre * if &binary | %!xxd -r
        autocmd BufWritePre * endif
        autocmd BufWritePost * if &binary | silent %!xxd -g 1
        autocmd BufWritePost * set nomod | endif
augroup END

-bオプションをつけてバイナリファイルを開く。

0000000: ff d8 ff e0 00 10 4a 46 49 46 00 01 01 01 00 48  ......JFIF.....H
0000010: 00 48 00 00 ff db 00 43 00 10 0b 0c 0e 0c 0a 10  .H.....C........
0000020: 0e 0d 0e 12 11 10 13 18 28 1a 18 16 16 18 31 23  ........(.....1#
0000030: 25 1d 28 3a 33 3d 3c 39 33 38 37 40 48 5c 4e 40  %.(:3=<9387@H\N@
0000040: 44 57 45 37 38 50 6d 51 57 5f 62 67 68 67 3e 4d  DWE78PmQW_bghg>M
0000050: 71 79 70 64 78 5c 65 67 63 ff db 00 43 01 11 12  qypdx\egc...C...
0000060: 12 18 15 18 2f 1a 1a 2f 63 42 38 42 63 63 63 63  ..../../cB8Bcccc
0000070: 63 63 63 63 63 63 63 63 63 63 63 63 63 63 63 63  cccccccccccccccc
0000080: 63 63 63 63 63 63 63 63 63 63 63 63 63 63 63 63  cccccccccccccccc
0000090: 63 63 63 63 63 63 63 63 63 63 63 63 63 63 ff c2  cccccccccccccc..
00000a0: 00 11 08 00 60 00 80 03 01 22 00 02 11 01 03 11  ....`...."......
00000b0: 01 ff c4 00 19 00 00 03 01 01 01 00 00 00 00 00  ................
00000c0: 00 00 00 00 00 00 01 02 03 04 00 05 ff c4 00 17  ................
00000d0: 01 01 01 01 01 00 00 00 00 00 00 00 00 00 00 00  ................
00000e0: 00 00 01 02 03 ff da 00 0c 03 01 00 02 10 03 10  ................
00000f0: 00 00 01 d2 99 db a4 54 a3 d9 1e d6 b1 06 a7 2c  .......T.......,
0000100: 46 9b 47 9f da 06 a6 7e bf 10 ea 75 3d 43 42 2d  F.G....~...u=CB-
0000110: 78 9b d1 e5 99 d0 73 60 b7 42 42 82 93 98 52 87  x.....s`.BB...R.

編集するときは、16進数の部分を書き換える。右側のテキスト部分の変更は反映されない。

CONTENT_TYPE=text/plain; charset=iso-2022-jp

コマンドの出力をnkfにパイプして、JISコードにする。

* * * * * コマンド | nkf -j

# vi /etc/courier/authdaemonrc

#authmodulelist="authpam"
authmodulelist="authuserdb"

userdbにユーザを追加。

# userdb ユーザ名 set home=/home/ユーザ名 mail=/home/ユーザ名/Maildir uid=ユーザUID gid=グループUID

IMAP用パスワードを設定する。

# userdbpw -md5 | userdb ユーザ名 set imappw

POP3用。

# userdbpw -md5 | userdb ユーザ名 set pop3pw

Courier-IMAPから読めるようにuserdb.datを作成する。

# makeuserdb

nkfを使う

$ nkf [オプション] 入力ファイル > 出力ファイル

オプション

UTF-8に変換。

$ nkf -w filename > filename.utf8

入力ファイルに上書きするときは、--overwrite オプションを使う。

$ nkf -w --overwrite filename

カレントディレクトリ以下のファイルを再帰的に変換する。(テキストファイル以外も変換されるので注意が必要)

$ find . -type f -exec nkf -w --overwrite {} \;

xargsを使う方法。

$ find . -type f | xargs nkf -w --overwrite

変換対象を「*.html」にする。

$ find . -name "*.html" | xargs nkf -w --overwrite

perl(Jcode.pm)を使う

$ perl -MJcode -i -lpe 'Jcode::convert(\$_, "文字コード")' 入力ファイル

再帰的に変換。

$ find . -type f | xargs perl -MJcode -i -lpe 'Jcode::convert(\$_, "utf8")'
$ find . -type f | xargs perl -MJcode -i -lpe 'Jcode::convert(\$_, "euc")'

ファイル名の文字コード変換

convmvを使う。カレントディレクトリにあるファイル名をEUC-JPからUTF-8に変換する場合。

$ convmv -f euc-jp -t utf8 *

上記のコマンドでは確認のみで実際に変換はしない。変換するときは、--notest オプションをつける。

$ convmv -f euc-jp -t utf8 * --notest

-r オプションで再帰的に変換できる。

$ convmv -r -f euc-jp -t utf8 * --notest

変換できる文字コードの確認。

$ convmv --list

usblpモジュールが必要。

# modprobe usblp

プリンタを接続して、認識するか確認する。

# dmesg

usb 1-1: new full speed USB device using ehci_platform and address 2
drivers/usb/class/usblp.c: usblp0: USB Bidirectional printer dev 2 if 0 alt 0 proto 2 vid 0x04A9 pid 0x106D

CUPSの設定

cupsysをインストールする。

# apt-get install cupsys

/etc/cups/cupsd.confを編集して、Web設定画面にLAN内からアクセスできるようにする。

# vi /etc/cups/cupsd.conf

Listen 631    # 変更

<Location />
  Order allow,deny
  Allow localhost
  Allow @LOCAL    # 追加
</Location>

<Location /admin>
  Encryption Required
  Order allow,deny
  Allow localhost
  Allow @LOCAL    # 追加
</Location>

<Location /admin/conf>
  AuthType Basic
  Require user @SYSTEM
  Order allow,deny
  Allow localhost
  Allow @LOCAL    # 追加
</Location>

設定を反映させるために再起動しておく。

# /etc/init.d/cupsys restart

プリンタの設定

Canon BJ S700の場合、foomatic-filters-ppdsに入っているドライバ（S700用は入ってないのでS630用のドライバを使う）を使うのでaptでインストール。

# apt-get install foomatic-filters-ppds

http://(サーバのIPアドレス):631/ にアクセスして「プリンタの追加」からプリンタの設定をする。

プリンタの名前を設定する。

デバイスを選択する。USB接続なので「USB #1」とした。

ドライバの選択。S700がないので、「Canon S630」を選択した。

Epson CC-570Lの場合

CUPSのドライバの「EPSON New Stylus Photo Series CUPS v1.2 (en)」で印刷できたのでfoomatic-filters-ppdsは必要なかった。

クライアントでの設定

Windowsでコントロールパネルからプリンタを追加する。

「ネットワーク プリンタ、またはほかのコンピュータに接続されているプリンタ」を選択。

「インターネット上または自宅/会社のネットワーク上のプリンタに接続する」を選択して、URLに「http://(サーバのIPアドレス):631/printers/(CUPSに登録したプリンタ名)」を入力する。

ドライバを選択する。

通常使うプリンタに設定する。

設定が完了したら、印刷テストをしておく。

IPnutsのインストール

CFのフォーマット

CFをFAT16でフォーマットする。アクティブにして、パーティションのサイズを512MB以下にする。

パッケージのコピー

IPnutsのCDのpackagesフォルダ以下のファイルをCFにコピー。アップデートしておくなら、
http://www.ipnuts.net/IPnuts/4_0_r3/updates/ のファイルもコピーする。

syslinuxのインストール

CFをルータにするPCに接続して、IPnutsのCDで起動。以下のコマンドを実行する。

syslinux -s /dev/hda1

初期設定

CFで起動して初期設定をする。

NICの認識

ETX-PCI(RTL8139)は8139tooでデフォルトで認識された。

オンボードNIC(VT6103)を認識させる。

# insmod via-rhine.o

確認

# ip link show

起動時にモジュールを読み込むように/etc/modulesに「via-rhine」を追加する。

# vi /etc/modules

8390
mii
ne2k-pci
8139too
e100
via-rhine

rootのパスワードを変更

デフォルトではパスワードなしなので、設定しておく。

# passwd

設定を保存

# save_conf

Web設定画面で設定

http://192.168.0.1/ にアクセスして設定する。(デフォルトユーザ: webadmin パスワード: free)

その他の設定

USBメモリをリムーバブルディスクとして認識させる

デフォルトではリムーバブルディスクはフロッピーだが、USBメモリを使うように、/etc/default/rcSを編集して「REMOVABLE=/dev/sda1」とする。

# vi /etc/default/rcS

REMOVABLE=/dev/sda1

シェルをbashにする

デフォルトのシェルをashからbashに変更する。
http://sourceforge.jp/projects/ipnuts-ext/ のbash.lrpをUSBメモリに保存する。Web設定画面の[ブートディスク]からbash.lrpをブートディスクにコピーして有効化する。

SSHでrootのログインを禁止する

一般ユーザを追加。

# adduser user1

rootのログインを禁止する。

# vi /etc/ssh/sshd_config

PermitRootLogin no

telnetを無効にする

/etc/inetd.conf を編集してtelnetを無効にする。

# vi /etc/inetd.conf

#telnet         stream  tcp     nowait  root.telnetd    /usr/sbin/tcpd  /usr/sbin/in.telnetd

必要なもの

• KNOPPIX 5.3.1 CD版(knoppix_v5.3.1CD_20080326-20080520-AC.iso)
• SYSLINUX - FAT上のLinuxをブートできるブートローダ(syslinux-3.72を使用)
• DAEMON Toolsなど - CDイメージをマウントできるソフト
• USBメモリ - 今回はJetFlash 150(TS1GJF150)を使用

USBメモリにKNOPPIXをインストール

1. USBメモリをFAT32でフォーマットする。
2. KNOPPIXのCDイメージをマウントする。(マウントしたドライブを「I」とする)
3. I:\KNOPPIX をフォルダごとUSBメモリにコピーする。
4. I:\boot\isolinux 以下のファイルをすべてUSBメモリにコピーする。
5. USBメモリ内のisolinux.cfgをsyslinux.cfgにリネームする。
6. SYSLINUXを実行する。(SYSLINUXを展開したフォルダをE:\syslinuxとする)
   「ファイル名を指定して実行」または「コマンドプロンプト」で以下を実行。(最後のf:はUSBメモリのドライブ)

   E:\syslinux\win32\syslinux.exe -am f:
   

USBメモリからブートする

BIOSの設定を変更してUSBメモリの起動順を上げる必要がある。それ以外にもマザーボードによっては設定変更の必要があった。

• Intel DG33FBC
  BIOSの設定で「USB Mass Storage Emulation Type」を「All Fixed Disc」に変更。
• VIA EPIA 5000
  JetFlash 150 に付属の mFormat Utility でUSBメモリをフォーマットするとブートできた。

HotSaNICは取得したデータを保存するために、rrdファイルを頻繁に更新する。そこでrrdファイルをtmpfsに保存して、HDDへのアクセスを減らすようにする。

tmpfsのマウント

/tmpにマウントする。サイズは512MBを上限とする。

# mount tmpfs /tmp -t tmpfs -o size=512m

fstabに追加して起動時にマウントするようにする。

# vi /etc/fstab

tmpfs         /tmp      tmpfs   defaults,size=512m 0 0

HotSaNICの設定

HotSaNICが生成するrrdファイルは各modulesディレクトリのrrdディレクトリに保存される。rrdディレクトリをtmpfsへのシンボリックリンクとして、シャットダウン時にrrd_bakへコピー、起動時にrrdディレクトリへコピーするようにする。

rrdディレクトリをrrd_bakにリネーム。

# cd /usr/local/HotSaNIC
# for mods in ./modules/* ; do mv $mods/rrd $mods/rrd_bak ; done

rrdファイルをコピーするスクリプトを作成する。

# vi copyrrd.sh

#!/bin/bash

RRDDIR=/tmp/HotSaNIC

cd "/usr/local/HotSaNIC"

. ./settings

case $1 in
  start)
    for mods in $RUN
    do
      if [ ! -d $RRDDIR/$mods ]; then
        mkdir -p $RRDDIR/$mods
      fi
      if [ ! -e ./modules/$mods/rrd ]; then
        ln -s $RRDDIR/$mods ./modules/$mods/rrd
      fi
      cp -f ./modules/$mods/rrd_bak/*.rrd ./modules/$mods/rrd/
    done
  ;;
  stop)
    for mods in $RUN
    do
      if [ ! -d ./modules/$mods/rrd_bak ]; then
        mkdir ./modules/$mods/rrd_bak
      fi
      cp -f ./modules/$mods/rrd/*.rrd ./modules/$mods/rrd_bak/
    done
  ;;
  restart)
    $0 stop
    $0 start
  ;;
esac

rrdgraphを修正してcopyrrd.shを実行するようにする。

# vi rrdgraph

case $1 in
  start)
    ./copyrrd.sh start
    echo "Starting rrdtimer..."
    ./rrdtimer.pl Dp
    ;;
  stop)
    echo "Stopping rrdtimer..."
    if [ -e "$PIDFILE" ]; then
      PID=`cat "$PIDFILE"`
      for nn in $PID ; do kill $nn; done
    else
      echo "pid-file not found, rrdtimer not running?!"
      fi
    ./clearall CLEAR_COUNTERS
    ./copyrrd.sh stop
    ;;

rrdgraphはそのままinitスクリプトとして使えるが、setup.plを実行すると書き換えられるので、別名でコピーして/etc/init.dにシンボリックリンクを作成。

# cp rrdgraph rrdgraph.init
# ln -s /usr/local/HotSaNIC/rrdgraph.init /etc/init.d/
# update-rc.d rrdgraph.init defaults