FreeBSD3.4を使っています。
rootユーザにdaemonから毎日送られてくるメール
(Subject: thishost.xxx.jp security check output)
の中の項目に
thishost.xxx.jp login failures:
Sep 12 11:52:35 hostname login: 1 LOGIN FAILURE ON ttyv0
Sep 13 14:12:20 hostname login: 1 LOGIN FAILURE FROM thishost
:
というのがあるのですが
随分前のログイン失敗記録が毎日送られ続けています。
このログはどこかのファイルに記録されているのだと思うのですが
そのファイルがどこにあるか教えていただけないでしょうか。
また、
・そのログファイルは内容を(または、ファイルごと)消去してもかまわないものなのか、
・この類のメールを停止できるのか
(停止しても問題なければ)
についても、教えていただけたらと思います。
基本的なことで申し訳ありませんが、よろしくお願い致します。
No.1
- 回答日時:
/var/log/messages に記録されており、cron の periodic daily 内でチェッ
クされ、メールされます。
/var/log/messages は、cron で起動される newsyslog が、newsyslog.conf
に設定された条件を満たしたときに、名前を変えて数回分が保存され、ファイ
ルが空にもどされます。デフォルトでは /var/log/messages は 100KB に達し
たらローテートされるようになっていると思います。ですから、
/var/log/messages に記録される内容があまりなければ、なかなか 100KB に
なりませんので、何度もチェックされてメールされるというわけです。
ある程度の期間は、過去の /var/log/messages を保存しておく方がいいと思
いますから、100KB ごとではなく、例えば毎日更新し、ただし保持回数を30回
くらいとしておくのはいかがでしょうか?
それには、/etc/newsyslog.conf の該当する行を
/var/log/messages 664 30 * 24 Z
のようにすればいいと思います。
メールの停止は、cron で sendmail を呼ばずにファイルに入れるなり、
/dev/null に捨てるなりすれば可能です。4.x では別の設定ファイルをいじれ
ば可能です。外部から攻撃される可能性がないマシンであれば、捨ててもいい
でしょう。
この回答への補足
/var/log/messagesをみたところ、たくさんのログの記録を確認できました。
しかし、メールで毎日送られる内容は
LOGIN FAILURE
の記録のみで、
誰がログイン/シャットダウンした
ハードウェアの使用部品(?)
等のログは送られてきていません。
ログイン失敗の記録のみが別のファイルに入っているのでしょうか。。。
No.2
- 回答日時:
3.x の場合、/etc/security が関連するスクリプトですが、これが
/var/log/messages の中から、重要なパターンにマッチするものを
ピックアップし、該当するものだけがメールに記載されます。
具体的には、
LOGIN FAILURE
と、
REFUSED CONNECT
という文字列がある行です。
この回答への補足
/etc/securityに
login failureとrefused connectに関するログを表示させるようなものを見つけました。
これがメールにログを表示させてたんですね。
/var/log/messagesの最古のログは11 Sepでしたので
12 Sepのログはそろそろ来なくなるんですね。
原因がわかってほっとしています。
ありがとうございました。
それと、前回の回答で
> メールの停止は、cron で sendmail を呼ばずにファイルに入れるなり、
> /dev/null に捨てるなりすれば可能です。4.x では別の設定ファイルをいじれ
> ば可能です。外部から攻撃される可能性がないマシンであれば、捨ててもいい
> でしょう。
とあるのですが、cronでsendmailを呼ばずにファイルに入れるとは
どうすればよいのでしょうか。
その場合、このログメール(?)だけでなく
他のメールもファイルに入ってしまうんですよね?
再三、申し訳ありません。
よろしくお願い致します。
No.3ベストアンサー
- 回答日時:
遅くなりましたが…
3.4 は手元にないので、若干相違があるかもしれませんが、
手元の 3.2 では、/etc/crontab で periodic daily を実行して、
この結果をそのまま sendmail に食わせています。
これが、daily run output として来るメールです。
ですが、/etc/security の結果は、
/etc/periodic/daily/450.status-security
が独自に sendmail に渡しているようですね。
こっちが、security check output です。
ですので、cron 云々じゃなくて、
/etc/periodic/daily/450.status-security
を変更してやる必要があります。
具体的には、このファイル内に
sh /etc/security 2>&1 | sendmail root
という行がありますが、これを
sh /etc/security >/var/log/security.log 2>&1
としてやればいいです。
ただし、これでは毎日上書きされてしまいますので、
sh /etc/security >/var/log/security.log.`date +%d` 2>&1
とかにしておくと、過去1ヶ月分は保存されるようになります。
date +%d は、その日の日付です。
この回答への補足
たびたびすみません。
昨日、
/etc/periodic/daily/450.status-security
の内容を
sh /etc/security >/var/log/security.log.`date +%d` 2>&1
に書き換えてみました。
#連休まえに`date +%d`でなく'date +%d'で書いてしまってました。
今朝、会社に来てみると
/var/log/securityt.log.11 なるファイルが作成され、
その中に /etc/security の結果が書かれていました。
けれど、rootに/etc/securityのメールは送り続けられています。
punchan_jpさんの3.2と私の3.4の構成が違うのでしょうか?
ちなみに、毎日届いているのは
login failureなどが書かれた『hostname.co.jp security check output』なるサブジェクトのものと、
ハードディスクの状態などが書かれた『hostname.co.jp daily run output』です。
ログをsendmailではなくファイルに出力するわけですね。
sh /etc/security >/var/log/security.log.`date +%d` 2>&1
の日付を囲んでる記号が後ろ向きダッシュ(`)でよいのでしょうか。
土日月&翌火曜日は会社が休みなので
そのあとにチェックしてみます。
意図する出力結果が得られたかどうか、
報告させていただきますね。
ありがとうございました。m(_ _)m
No.4
- 回答日時:
ログがファイルに記録されるだけでなく、メールでも来るということでしょうか?
/etc/periodic/daily/450.status-security の変更時に、
該当行の変更ではなく、追加をしていませんか?
そうでないとすると、ちょっとわかりません。
えぇ。
/var/log/security.log.16(本日作成分)のようなファイルができており、
rootユーザにもメッセージが送られ続けてきています。
「再設定してからリブートかけていなかったかな?」
と思ってリブートしてみましたが、
既にリブート済みだったようで、結果は変わりませんでした。。。
もうちょっと…いや、もっと×2勉強して
いつの日か(?)解決したいと思います。
長々と御丁寧にありがとうございました!! m(_ _)m
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- JavaScript Google reCAPTCHAについて 1 2023/02/22 14:37
- Google Drive one drive?同期できません 1 2022/11/21 20:53
- PHP php ログイン 1 2022/11/01 00:24
- Google Drive os再インストールでファイル残ってたらone drive? 1 2022/11/22 19:51
- その他(パソコン・スマホ・電化製品) ソフトバンクのオンラインショップの予約商品について 予約した日時はこれです 2023年01月16日 2 2023/01/20 08:27
- PHP PHPでユーザー情報を入力して簡易ログイン機能をつくってみたのですが 1 2023/05/29 08:51
- オープンソース ChatGPTの公式サイトは? 2 2023/02/03 03:44
- 英語 such thing as failureとthing like failure等の違いについて 2 2023/04/09 15:42
- UNIX・Linux bash のファイルの読み込み方についてご質問 3 2023/05/15 20:40
- 英語 高校英語教えてください When Nathaniel, a heartbroken man, wen 3 2023/02/04 01:23
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
evalが使えない場合
-
この大量のmaillogの原因を知り...
-
expectを用いた正規表現[]のgre...
-
ssl_request_logの必要性について
-
ポートスキャンのログ
-
Apacheのログについて
-
bindにてlogがfailedになる
-
/var/adm/messagesから当日分の...
-
rsyncの実行時間
-
「DNSサーバーを自動的に取得す...
-
MACアドレス 00:E0:C3 SAKAI って
-
Mailの受信メールが自動的に削...
-
DNSサーバを設定したのですがns...
-
パスワード設定していないユー...
-
コマンドでのFTP転送が進まない。
-
AWSでサーバを構築してWordpres...
-
リモートデスクトップ接続でパ...
-
Mailの送信済みメールボックス...
-
safariのプロキシを簡単に変更...
-
iPadの受信メールが消える
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
IEのイベントログをイベントビ...
-
ssl_request_logの必要性について
-
auth.logが出力されない。
-
squidのアクセスログについて
-
expectを用いた正規表現[]のgre...
-
logrotateの再起動
-
サブシステムがロックします。
-
コマンドプロンプトでのcopyコ...
-
FedoraCore6を使用し、PostFix...
-
イベントログ 「シェルが停止し...
-
rsyncの実行時間
-
Aixのsyslogログローテーション...
-
reboot 実行時のログについて
-
FTPのログを取得したい
-
/etc/cron.daily/logrotateがエ...
-
tailとgrepの組み合わせて、結...
-
PowerShell と Get-WinEvent
-
Solarisでのログ情報ファイル
-
apcupsdについて教えてください
-
logrotateの挙動について
おすすめ情報