今回から3回にわたってRaspberry Piのセキュリティ強化を行います。
その1でLogの日常監視のためにlogwatchを導入
その2でファイル改竄検知ができるtripwireを導入
その3でrootkit(クラッキングツール)検出ができるchkrootkitを導入します。
今回はRaspberry Piのログを日常的にチェックするためにlogwatchを入れます。1日1回logを整形してメールで送ってくれます。
logwatchのインストールといきなりテスト
参考URL
dogmap.jp
LANDISK HACKING DIARY
Things
BROKENDISH
さっそくインストール
sudo apt-get install logwatch
いきなりテストしてみます。
logwatch
?!
何も表示されない?
デフォルト設定では昨日のログの情報を表示しているらしいのでなんもしてない昨日は特にレポートする内容が無かったっぽい。
今日の情報を表示させてみる。
logwatch –range today
おぉ表示された。結構時間がかかります。
logwatchの設定
テストできたので設定ファイルを直します。やりたいのは以下。
・出力をメールでルート宛に送る(ルート宛のメールは転送されるよう設定済み)
・詳細を送るようにする。
メイン設定ファイルは/usr/share/logwatch/default.conf/logwatch.confです。
設定します。
cd /usr/share/logwatch/default.conf
sudo cp logwatch.conf logwatch.conf.org
sudo vi logwatch.conf
—— 以下設定変更部位 ———
35行目付近。レポートを標準出力からメールへ変更
#Output = stdout
Output = mail
67行目付近に追加。アーカイブファイルをログに含める。デフォはYesだが明示しとく。
Archives = Yes
72行目付近。ログのレポート日付。yesterday,today,allから選択。確認のみ。
Range = yesterday
79行目付近。レポートレベルを上げる
#Detail = Low
Detail = High
———— ここまで ———–
ホームディレクトリへ戻る
cd
インストール時点でcron(自動実行サービス)に登録されているようで毎日実行されます。実行時間を変更する設置をしようかと思いましたが、logwatchの設定範囲を逸脱するのでcronの設定を別の回にすることにします。
とりあえず設定は以上で終了。
もう一度テストします。メールでなく画面に表示するよう–outputオプションをつけます。
logwatch –range today –output stdout
うぉ、めっちゃ長い。postfixの設定をいじってエラーログ出しまっくた影響があるようです。ここまで詳細だと見るのも辛いので出力レベルを下げてみます。
logwatch –range today –output stdout –detail med
とりあえずはこのぐらいがちょうどいいかも。変なログがあったら改めてチェックすればいいわけだし。
ということで設定ファイル79行目付近のレポートレベルはmedに再設定しておきます。
最後に今までの全ログを出力しておきます。(設定に従いメールで送付されるはず)
logwatch –range all
あやしいログは無いっぽい。
これでちょっと安心できるようになりました。
そういや、後でインストールする予定のApacheとかのログも取れるんだろうか?
調べたらシステムにインストールされていないサービスもあらかじめデフォルトで用意されているらしい。
各サービスごとの設定ファイルは↓に入っています。
/usr/share/logwatch/default.conf/services
今回は以上です。
もう少しセキュリティ関係の設定が続く予定です。
2014年4月26日作成
2014年5月5日草稿公開