自宅なんで厳密に監視をしなくてもいいんじゃね？とも思うのだが、人間が設定を管理している以上、やっぱり何かやってしまうもんだ。そういうミスを犯した際、早期に発見するにはログ監視が有効。ただ、毎日ログを見るのはかったるいので、こんなスクリプトをクロンで回している。

#! /bin/bash

day_before=`date +"%h %e" --date="-1 day"`
day_before_subject=`date +"%Y/%m/%d" --date="-1 day"`

cat /var/log/routers.1 /var/log/routers \
| grep -e "$day_before" \
| egrep -v "router \[IKE\] respond ISAKMP phase to some-ip" \
| egrep -v "router \[IKE\] respond IPsec phase to some-ip" \
| egrep -v "router \[IKE\] initiate informational exchange \(delete\)" \
|<省略>
| mail -s "daily network watch ($day_before_subject)" hoge@hogehoge

こんな感じにsyslogで回収したログをregexでいらん部分だけを排除して、毎日メールで送ってくれる。上記ではIPSecで拠点間を繋いでいる関係のログで、定期的に出ているので省いている。何事もなければ空メールだし、telnetとかで入った場合はそのログだけが出るという感じ。

先日、実家のネットワークで変なログが出てたので調べてみたら、両親のパソコンが怪しいソフトに犯されていた。こういうのが即検知できるのを待っていたぜ！

最近では中国のIP（183.60.48.25）からPPTP接続が来るのを何度も検知してて、これはreject-nologを設定にぶっ込んでおいた。MS-CHAP V2の脆弱性を狙っているようではなさそうだとは思うけど、とりあえず183.0.0.0/10はリジェクト設定。なんなんでしょうね、これ。