13 Raspberry Piのセキュリティ向上 その1/3 Log日常監視( logwatch 導入)

今回から3回にわたってRaspberry Piのセキュリティ強化を行います。
その1でLogの日常監視のためにlogwatchを導入
その2でファイル改竄検知ができるtripwireを導入
その3でrootkit(クラッキングツール)検出ができるchkrootkitを導入します。

今回はRaspberry Piのログを日常的にチェックするためにlogwatchを入れます。1日1回logを整形してメールで送ってくれます。

logwatchのインストールといきなりテスト

参考URL
dogmap.jp
LANDISK HACKING DIARY
Things
BROKENDISH

さっそくインストール
sudo apt-get install logwatch

いきなりテストしてみます。
logwatch

?!
何も表示されない?
デフォルト設定では昨日のログの情報を表示しているらしいのでなんもしてない昨日は特にレポートする内容が無かったっぽい。
今日の情報を表示させてみる。
logwatch –range today

おぉ表示された。結構時間がかかります。

logwatchの設定

テストできたので設定ファイルを直します。やりたいのは以下。
・出力をメールでルート宛に送る(ルート宛のメールは転送されるよう設定済み)
・詳細を送るようにする。

メイン設定ファイルは/usr/share/logwatch/default.conf/logwatch.confです。
設定します。
cd /usr/share/logwatch/default.conf
sudo cp logwatch.conf logwatch.conf.org
sudo vi logwatch.conf

—— 以下設定変更部位 ———
35行目付近。レポートを標準出力からメールへ変更
#Output = stdout
Output = mail

67行目付近に追加。アーカイブファイルをログに含める。デフォはYesだが明示しとく。
Archives = Yes

72行目付近。ログのレポート日付。yesterday,today,allから選択。確認のみ。
Range = yesterday

79行目付近。レポートレベルを上げる
#Detail = Low
Detail = High
———— ここまで ———–

ホームディレクトリへ戻る
cd

インストール時点でcron(自動実行サービス)に登録されているようで毎日実行されます。実行時間を変更する設置をしようかと思いましたが、logwatchの設定範囲を逸脱するのでcronの設定を別の回にすることにします。

とりあえず設定は以上で終了。

もう一度テストします。メールでなく画面に表示するよう–outputオプションをつけます。
logwatch –range today –output stdout

うぉ、めっちゃ長い。postfixの設定をいじってエラーログ出しまっくた影響があるようです。ここまで詳細だと見るのも辛いので出力レベルを下げてみます。

logwatch –range today –output stdout –detail med

とりあえずはこのぐらいがちょうどいいかも。変なログがあったら改めてチェックすればいいわけだし。
ということで設定ファイル79行目付近のレポートレベルはmedに再設定しておきます。

最後に今までの全ログを出力しておきます。(設定に従いメールで送付されるはず)
logwatch –range all

あやしいログは無いっぽい。
これでちょっと安心できるようになりました。

そういや、後でインストールする予定のApacheとかのログも取れるんだろうか?
調べたらシステムにインストールされていないサービスもあらかじめデフォルトで用意されているらしい。
各サービスごとの設定ファイルは↓に入っています。
/usr/share/logwatch/default.conf/services

今回は以上です。
もう少しセキュリティ関係の設定が続く予定です。

2014年4月26日作成
2014年5月5日草稿公開

シェアする

  • このエントリーをはてなブックマークに追加

フォローする