さて、ポートスキャン等の不正アタック対策としてSnortを入れることにしました。

Snortは6月19日現在、snort-2.1.3が最新バージョンのようですが、Vineではコンパイルできませんでした。仕方ないのでsnort-2.0.6を取ってきて、コンパイルしてみました。このバージョンはうまくコンパイルできるようです。

その後、ログの整形にsnortsnarf使おうとしたのですが、snortsnarfがおいてあるはずのsilicondefense.comが応答しません。

と言うことで、うまくいったら追記します。

前に寄生虫とアタックの跡でも書いたが、このサーバのapacheのログは結構汚い。なぜ汚いのかと言えば

1 ワームのアタックの後がかなりある。
2 このサイトの背景に使っている画像へのアクセスが記録されている。
3 なんといっても、オイラがアクセスしたのまで律儀にLogを取っている。

という理由からだ。

これではアクセス分析もへったくれもあったもんじゃない。と言うことで、まともなログになるようにしてみた。

段階としては３つ。全てhttpd.confにて設定ができるようだ。この設定ファイルは、Vineの場合/etc/httpd/conf/にある。まず、ログに記録しない為の設定をする。これはまず

と、no_logに該当した部分をログに記録しないように設定し、次に、自分のアクセスをLogに記録しないよう設定する。これはmoduleの設定以降に

等と記入してやればOK。同じように画像ファイルアクセスのログもスキップする。


さて、わずらわしいなワームの足跡は、通常のログにはのこさず、別のログファイルに保存するようにした。

以上を追加し、ワーム用のログファイルを設定する。

あと、上記では非常にログを見づらくしてくれるW32.HLLW.Gaobot.gen対策がされていない。このワームに対しては、バーチャルホストを用いる方法もあるようだが、見たくもないので単にログに残さないように設定した。これは

としてやることで対応できるようだ。

後はワーム用のログファイルのログローテーションを設定してやる。これはVineでは/etc/logrotate.d/apache　に、以下を追加してやればいい。


あ～、これでログがすっきりするぞ！！


参考サイト
Apache のカスタムログ設定（Linuxで自宅サーバ）
SEARCHメソッドの不正ログ対策（株式会社 ネットスパイス）

さて、前にも書きましたが、バイオハザード2をやりたいがため、server移転を計画しています。

HDも手にいれたし、後はOSを入れてデータを移すだけなんですが、これがちょっとめんどくさいな。

手順としては

1 OSインストール
2 サービス、セキュリティ等の各種設定
3 旧サーバからデータ転送

となるわけですが、単純に移すだけで大丈夫なんだろうか？

ここいらへんはTry＆Errorでやってみるしかありませんね。

今週中には仕上げないとね。

あと、少し気になる点としては、なんとethernet cardがISAなんですね。それもカニチップ。ちゃんとパフォーマンスは確保できるんだろうか？う～～ん、だめだったら考えないと…

２,０００円チョッとのバイオハザード２のために、いらん手間がかかってしまっています、とほほ。

VineLinuxをADSLルータとして使う場合の設定方法

参考ページADSLによるLinuxサーバ構築

もともとVine2.5-2.6には、ADSLモデムにブリッジ接続した場合に必要となるパッケージ（rp-pppoe）が用意されているので、kernelの再構築などは必要ない。

自分のシステムに入っているかどうかは、rootで
rpm -qa | grep rp-pppoe
とやれば確認できる。

もし入っていない場合は
apt-get install rp-pppoe
としてインストールする。

インストールを確認したら、rootで
adsl-setup
を実行し、画面にしたがって必要なデータを入力していく。ここでサーバの種類として、NONE、STANDALONE、MASQUERADEの3種類のから、どれかを選択しなければならないが、ルータとして用いるのであれば、MASQUERADEを選択する。

さて、ルータとして使用する場合、ネットワークカードを2枚使うことになるわけだが、その場合、ADSLモデムに接続するネットワークカードの方は、起動時に作動させる必要はない上、プロバイダから与えられたアドレスで動かなくてはならないので、Webminなどで設定をしなくてはならない。

まず、webminを起動させ、アクセスする。その後、ネットワーク -> ネットワーク設定 -> ネットワークインターフェースと降りていって、起動時にインターフェイスをアクティブのところの、モデムに接続するホスト名をクリックする。



このような画面になるはずなので、ここで赤丸をつけたところを適切に設定する。起動時にアクティブのところは、必ず「いいえ」をチェックする。
IPアドレスを与えてやるとよくないなどの情報もあるが、入れてやって大丈夫だ。

保存して適用を押すと、



こういうふうになっているはずなので、確認する。

これでとりあえず繋がるかと思うが、ルータとして使用する場合は、プロキシのサービスも起動させなくてはならないようだ。

これもwebminから設定する。サーバのところのSquid プロキシ サーバで起動できるはずだ。

あとは、/etc/ppp/firewall-masq（ここは最初のadsl-setupで選んだものに一致するので注意）を編集し、ポートを開けてやる。

私の場合は、下記のようにwwwとsshとDNSを開けている。
/sbin/ipchains -A input -i $EXTIF -d $ANY 53 -p udp -j ACCEPT
/sbin/ipchains -A input -i $EXTIF -d $ANY 22 -p tcp -j ACCEPT
/sbin/ipchains -A input -i $EXTIF -d $ANY 80 -p tcp -j ACCEPT

その後、adsl-startとやって、繋がればOKだ。

やめだやめ！！全然ダメだよ。や～～めた

いまどきはやらないアクセスカウンタをつけてみようと思った。以下、手順。

1、アクセスカウンタのcgiは色々あるが、なぜかここが目についたので取ってきた。
2、このファイルを、サーバのcgiフォルダに転送
3、hoge.txtをhoge.cgiに変更し、パー ミッションを755に変更
4、countx_dataフォルダを作成し、パーミッションを777に
5、countx-123.cgiじゃなくて、countx.cgiに直す。
6、TemplateのMain Indexを編集する。

上記のようにやってみました。でも動かん…なぜ？