このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

SWATCHの監視設定ファイルについて このメッセージに返信する
日時: 2011/04/09 16:07
名前: kain
URL:
最近メール関係で不正を試みるアクセスが増えてきたのでSWATCHで
対処しようと思い、以下2つのログに対するアクションを作成したのですが
pipeで渡している数字部分があっているのか分かりません。教えて頂けないでしょうか。

maillogの不正アクセス
Apr 3 16:25:35 linux postfix/smtpd[23801]: warning: mail.******.com[***.***.***.***]: SASL LOGIN authentication failed: authentic

Mar 31 16:25:17 linux dovecot: pop3-login: Disconnected: user=<umzwlr>, method=PLAIN, rip=***.***.***.***, lip=***.***.***.***

SWATCHのアクション

# logfile /var/log/maillog

# 存在しないユーザ名によるpop3-login認証試行を検知したら該当ホストからのアクセスを24時間規制
watchfor /pop3-login: Disconnected/
pipe "/usr/local/bin/swatch_action.sh 11 lock"
throttle=00:00:10

# 存在しないユーザ名によるSASL認証試行を検知したら該当ホストからのアクセスを24時間規制
watchfor /SASL LOGIN authentication failed/
pipe "/usr/local/bin/swatch_action.sh 11"
throttle=00:00:10
記事編集 編集
Re: SWATCHの監視設定ファイルについて このメッセージに返信する
日時: 2011/04/10 05:25
名前: ペングイン
URL: http://blog.trippyboy.com
kainさん

>maillogの不正アクセス
>Apr 3 16:25:35 linux postfix/smtpd[23801]: warning: mail.******.com[***.***.***.***]: SASL LOGIN authentication failed: authentic
>
>Mar 31 16:25:17 linux dovecot: pop3-login: Disconnected: user=<umzwlr>, method=PLAIN, rip=***.***.***.***, lip=***.***.***.***
>
>SWATCHのアクション
>
># logfile /var/log/maillog
>
># 存在しないユーザ名によるpop3-login認証試行を検知したら該当ホストからのアクセスを24時間規制
>watchfor /pop3-login: Disconnected/
> pipe "/usr/local/bin/swatch_action.sh 11 lock"
> throttle=00:00:10

pipe "/usr/local/bin/swatch_action.sh 10 lock" です。

rip=* が接続元情報なので、「 」半角スペースで区切った10こ目が接続元情報になります。

>
># 存在しないユーザ名によるSASL認証試行を検知したら該当ホストからのアクセスを24時間規制
>watchfor /SASL LOGIN authentication failed/
> pipe "/usr/local/bin/swatch_action.sh 11"
> throttle=00:00:10

pipe "/usr/local/bin/swatch_action.sh 7" です


いずれも設定したら
echo "該当ログの行" >> /var/log/maillog として認識されるか試すといいと思います。
記事編集 編集
Re: SWATCHの監視設定ファイルについて このメッセージに返信する
日時: 2011/04/10 08:27
名前: kain
URL:
なるほど。有り難うございました。安心しました。(^o^)

>>echo "該当ログの行" >> /var/log/maillog として認識されるか試すといいと思います。
ここだけ意味がよく分からないのですがどういう事でしょうか。(^^;)
記事編集 編集
Re: SWATCHの監視設定ファイルについて このメッセージに返信する
日時: 2011/04/10 11:59
名前: ペングイン
URL: http://blog.trippyboy.com
echo "Apr 3 16:25:35 linux postfix/smtpd[23801]: warning: mail.******.com[***.***.***.***]: SASL LOGIN authentication failed: authentic" >> /var/log/maillog

などです(^^)

ls -la /var/log/swatch/ としてみて、ログの出力がされているか確認して見てください。

swatchの設定で認識する様に設定したログを擬似で/var/log/maillogに書き込んであげて
それをswatchが本当に認識するかを確認する事です。

何回か実行しないと条件に合致しないと思うので、10回程度実行してからswatchが
ログを出力していないか見てみてください。
記事編集 編集
Re: SWATCHの監視設定ファイルについて このメッセージに返信する
日時: 2011/04/10 19:56
名前: kain
URL:
あぁなるほど。そういうことですね。理解できました。

有り難うございました(^o^)
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -