先ほど、ここでお答えをいただきサーバーのログの問題を1つ解決できました。大変感謝しております。
それでもう一つの問題を質問いたします。
いくつかのサーバーのログを見ていたら、一つのサーバーで
Feb 6 14:55:11 yuki-dev smbd[18892]: [2007/02/06 14:55:11, 0] lib/access.c:check_access(328)
Feb 6 14:55:11 yuki-dev smbd[18892]: Denied connection from (218.168.17.87)
というログがやはり、1~2秒おきに出ています。このIPは全く見当がつきません。これはだれかにアタックされているように見えます。今のところ、接続を拒絶しているようですが、やっぱりログがどんどん大きくなるので、非常にめいわくです。なんとかしたいのですが、このIPアドレスをJPNICで検索しても「該当するデータがありません。」となって、抗議もできません。また、現時点でなにか重要なデータを盗まれたとかいう証拠もないので、警察も相手にしてくれないじゃないかと思います。
samba は非常に便利に使っているので、sambaを生かしたままなんとかしたいのですが、なにか方法はありませんでしょうか?
No.8ベストアンサー
- 回答日時:
回数だけのチェックだけも甘い気が
ログ一ずつチェックしておいた方がいいかもね。
いつのまにか進入されていたとかになったりして
なんどもありがとうございます。
数を数えるだけにするのは、全く同じパターンが続く場合にすべきでしょうね。ログのパターンが変化したら、それは残すべきでしょうね。また、messages のオリジナルは当然残しておいて、人間が目を通すためのログは別に作ることになりそうです。人間という生き物は十万行以上の同じような行の続くログを注意力を維持してチェックできるようには出来ていませんから。
No.7
- 回答日時:
>セキュリティがちゃんと働いて接続を拒否したというログは1日1個、あるいはログローテイト1回につき1個で十分と思います。
個人的な意見ですが、何回あったかも重要だと思っています。
クレームを付けるにしても、どのくらいあったという情報も必要だと思っていますので。
ただ、個人的には、smbd(samba)で拒否するように設定する事はもちろんですが、そこまで届く前にフィルタリングして必要な接続元以外からの接続はsmbd(samba)まで届かないようにしますね。
基本的には、外部から内部入ってくるものは基本的に拒否でフィルタリングし、必要なポートのみ、それも特定の接続元が特定できるならその接続元からの接続のみに限定して接続出来るようなフィルタリングの設定を行っています。
フィルタリングでもブロック(拒否)した時にログを出力するようにして、大量のログになりますが、圧縮して何世代(容量の都合で3~4ヶ月程度)か残してあります。
> 個人的な意見ですが、何回あったかも重要だと思っています。
> クレームを付けるにしても、どのくらいあったという情報も必要だと思っていますので。
たしかにそうですね。
同じIPからのアタックについては最初の1個を残し、あと回数、最後の時間くらいを記録したいと思います。
ありがとうございました。
No.6
- 回答日時:
>セキュリティがちゃんと働いて接続を拒否したというログは1日1個、あるいはログローテイト1回につき1個で十分と思います。
なんかいそのようなことがおきているかも重要だと思いますよ。
そんなに気になるなら生ログから
振り分けようのスクリプトでも
Perlで組めばいいのでは?
> そんなに気になるなら生ログから
> 振り分けようのスクリプトでも
> Perlで組めばいいのでは?
いわれてみると、そのとおりですね。
サーバーの管理は結構長いのですが、こんなしつこいアタックは初めてだったので、ちょっと頭に血が上っていました。
早速、ご提案の方法で対策をとりたいと思います。
同じIPからのアタックについては最初の1個を残し、あと回数、最後の時間くらいを記録したいと思います。
ありがとうございました。
No.5
- 回答日時:
>セキュリティはそれなりに考えてあるのですが、ログがたまるのが、うざいので質問しました。
こんなログがたくさんあると、本当に重要なログを見落としそうです。セキュリティの考えから見るとこういう
怪しいログ(しかも定期的なんて)すべてこそが重要なログなんです。
怪しくないまともなログだけ拾ってアクセス解析でもして
満足するためですか?
そこら辺がわかってないのに
セキュリティはそれなりに考えてある
なんていわないでください。
まったく考えていません。
この回答への補足
Denied になっているわけですから、セキュリティはちゃんと機能していると思いますが。このログによってこちらが設定しているセキュリティが想定どおりに機能している確認もできます。
インターネットに接続しているわけですから、いろんなことが起こるのは想定内です。ですから、本当に危険なものがログに出ればいいのであって、セキュリティがちゃんと働いて接続を拒否したというログは1日1個、あるいはログローテイト1回につき1個で十分と思います。
問題はセキュリティに全く問題ないログが、人間の注意力の邪魔をするということです。
> そこら辺がわかってないのに
> セキュリティはそれなりに考えてある
> なんていわないでください。
> まったく考えていません。
そういうわけなので、このような発言は全く意味不明です。
No.4
- 回答日時:
>思うに Denied で終わった時は、同じIPの Denied の記録は1日1個でいいような気がするのですが。
Swatch + iptablesでブロックするようにしてはどうでしょうか?
SSHなんかもこの応用で対処できると思いますが。
参考URL:http://www.aconus.com/~oyaji/security/swatch.htm
No.3
- 回答日時:
サーバをインターネットに公開したら、
>しらないIPからの接続要求
が来るのが普通、と思ったほうがいいです。かつ、その接続は「悪意」があるものも少なくないと考えて、セキュリティを考えていかなければなりません。
samba はインターネット経由で使うような物ではないと思いますが…。VPN などのしかるべき接続方法を考えるべきです。
参考URL:http://cgi.samba.gr.jp/pipermail/samba-jp/2007-J …
ご回答ありがとうございました。
ログを見てたら、接続要求の来るIPアドレスが変化しました。それでも、接続要求を出しているポートや間隔がまったく同じなので、このIPアドレスは踏み台にされていただけのようでした。
セキュリティはそれなりに考えてあるのですが、ログがたまるのが、うざいので質問しました。こんなログがたくさんあると、本当に重要なログを見落としそうです。
ルーターの設定で接続を許すIPを限定してしまおうかという意見もでています。しかし、ルータが古いのか、設定はCOMポートに直接でしかできないので、設定を変えるにはホスティングの現場まで行かなくてはなりません。
思うに Denied で終わった時は、同じIPの Denied の記録は1日1個でいいような気がするのですが。
No.1
- 回答日時:
すみません、素人なのですが、ご質問がふと目に入って・・・
ご質問のIP(ここにIP記載することの可否は分かりませんが・・・)検索してみたら、ヒットしました。某国の企業?のようですね。
ちなみに私は
http://whois.ansi.co.jp/
http://www.cman.jp/network/support/ip.html
http://www.mse.co.jp/ip_domain/index.shtml
で検索してみました。
一番上のサイトが簡単に表示されるようです。(私は読めませんが・・・w)
と、この回答自体が削除対象かも知れません。
その際はご容赦下さい。
ご回答ありがとうございました。
ログを見てたら、接続要求の来るIPアドレスが変化しました。それでも、接続要求を出しているポートや間隔がまったく同じなので、このIPアドレスは踏み台にされていただけのようでした。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- VPN VPNは設定した方がいいですか? VPNには常時接続するべき? 1 2023/05/25 17:43
- サーバー Googleドライブなどを使わずにテザリングAndroidでWindowsとファイル共有 1 2023/02/19 13:14
- サーバー ネットワークの構成に困っています 3 2023/07/05 11:55
- その他(コンピューター・テクノロジー) DHCPサーバーについて、、、。 職場のネットワーク環境で困っています。サーバーはWindows s 3 2023/01/04 10:15
- その他(インターネット接続・インフラ) IPアドレスについて 2 2022/10/23 14:48
- ネットワーク 自作のサーバーPCが自宅内のネットワークに接続できない 3 2023/01/24 16:58
- ドメイン・サーバー・クラウドサービス FileZillaを使用してwpXサーバーに接続できない 2 2022/03/29 21:02
- 通信機器・周辺機器 ネットワーク分割について 3 2022/10/24 09:23
- その他(インターネット接続・インフラ) テザリングで繋がる Wi-Fiで繋がらない Filezilla FTP 1 2023/05/25 10:31
- YouTube youtube動画再生について… 1 2022/04/08 04:24
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
FFFTPに接続できません。
-
airmac express ネットに繋がら...
-
MacBookの無線LANが接続しても...
-
FTPでの接続先の初期フォルダに...
-
ウインドウズ用のモニターをPer...
-
AirMac Extremeはステルスモー...
-
リモートデスクトップ 突然資...
-
ftpサーバーに接続するのにじか...
-
インターネット共有についての設定
-
デジカメの画像がパソコンに取...
-
内部DNSを指定するとインターネ...
-
スクリーンセーバー以外の画面...
-
ページが開かない。
-
LINUX PPPOEサーバー構築 接...
-
短時間でパソコンの時刻を合わ...
-
ログのIPアドレスの逆引きをや...
-
マック同士を接続
-
しらないIPからの接続要求
-
iMacの初期化後、OSのクリーン...
-
社内のサーバーにアクセスしたい
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
PCをシャットダウンするたびに...
-
[至急]windows10リモートデスク...
-
「ホストへアクセスできません...
-
ヤフーの接続が異常に遅いのは...
-
Windows10でUSB機器が接続/抜去...
-
ファイルデータでネットワーク...
-
ftp接続すると421エラーとなり
-
net use の「利用不可」について
-
telnetやftpでの接続が拒否され...
-
FTPでの接続先の初期フォルダに...
-
シリアル接続でログインするた...
-
ftpサーバーに接続するのにじか...
-
リモートデスクトップ接続がで...
-
vsftpでユーザーログインができ...
-
ubuntuサーバーを久々に再起動...
-
linuxのリモートデスクトップは...
-
FFFTPを使用してCentOSへファイ...
-
特定のIPへ接続させたくない
-
vsftpdでsftp(SSL)を実現したい
-
リモートデスクトップで特定の...
おすすめ情報