自宅ルータのログ監視
自宅なんで厳密に監視をしなくてもいいんじゃね?とも思うのだが、人間が設定を管理している以上、やっぱり何かやってしまうもんだ。そういうミスを犯した際、早期に発見するにはログ監視が有効。ただ、毎日ログを見るのはかったるいので、こんなスクリプトをクロンで回している。
#! /bin/bash day_before=`date +"%h %e" --date="-1 day"` day_before_subject=`date +"%Y/%m/%d" --date="-1 day"` cat /var/log/routers.1 /var/log/routers \ | grep -e "$day_before" \ | egrep -v "router \[IKE\] respond ISAKMP phase to some-ip" \ | egrep -v "router \[IKE\] respond IPsec phase to some-ip" \ | egrep -v "router \[IKE\] initiate informational exchange \(delete\)" \ |<省略> | mail -s "daily network watch ($day_before_subject)" hoge@hogehoge
こんな感じにsyslogで回収したログをregexでいらん部分だけを排除して、毎日メールで送ってくれる。上記ではIPSecで拠点間を繋いでいる関係のログで、定期的に出ているので省いている。何事もなければ空メールだし、telnetとかで入った場合はそのログだけが出るという感じ。
先日、実家のネットワークで変なログが出てたので調べてみたら、両親のパソコンが怪しいソフトに犯されていた。こういうのが即検知できるのを待っていたぜ!
最近では中国のIP(183.60.48.25)からPPTP接続が来るのを何度も検知してて、これはreject-nologを設定にぶっ込んでおいた。MS-CHAP V2の脆弱性を狙っているようではなさそうだとは思うけど、とりあえず183.0.0.0/10はリジェクト設定。なんなんでしょうね、これ。