ログの確認

システムを運用していくと各種ログが自動的に記録されるので、1日1回は目を通しておくことをお勧めします。
ここでは最低限目を通しておいた方が良いログを上げておきます。
スーパーユーザー宛に送られてくるレポート・メール
スーパーユーザー宛にシステム状態の記録が送られてくるので確認を行います。システム設定上のエラー情報も通知されますので、環境を変更した場合には時にチェックが必要です。
>su -l
password : *******
# mail

セキュリティ情報が以下のように通知されます。「checking for uids of」カウントなどを確認します。
From daemon Sun Feb 3 02:03:42 2002
Date: Sun, 3 Feb 2002 02:00:03 +0900 (JST)
From: Charlie Root
Subject: yourserver security check output

checking setuid files and devices:

checking for uids of 0:
root 0
toor 0

ネットワークの使用状況なども毎日報告されます。
network:
NameMtuNetworkAddressIpktsIerrsOpktsOerrsColl
ed01500<Link>00.01.02.03.04.0519155608710705
ed01500192.168yourserver19155608710705
lp0*1500<Link>
00000
tun0*1500<Link>
00000
sl0*552<Link>
00000
ppp0*1500<Link>
00000
lo016384<Link>
5305300
lo016384your-netlocalhost5305300

その他にも色々な報告メールが上がりますので目を通しておくことに越したことはないと思います。
ログインしたユーザー名の確認
以下のコマンドを用いログインしたユーザーの確認を行います。
# last
ログインしたユーザー名とログイン種類、ログイン元、時刻などが表示されます。
user1ttyp0192.168.0.1Thu Sep 517:14-17:19(00:05)
user2ttyp0123.123.123.1Thu Sep 500:16-00:45(00:28)
user1ftp 192.168.0.1Wed Sep 423:35-23:35(00:00)
メールのログを確認
標準設定では「/var/log/」の「maillog」にメールに関するログが記録されているのでエディタなどで開いて不正アクセスやエラーなどがないか確認します。
普通はスーパーユーザー宛に送られたレポートメールや正規のユーザーが送受信したメール情報などが記録されていますが、不正な中継を行おうとした形跡も記録されますので注意深くチェックすることが必要です。
Sep 3 02:03:40 yourserver sendmail[10000]: CAA00000: from=root, size=113, class=0, pri=30113, nrcp ts=1, msgid=<200209021700.CAA00000@yourserver.or.jp>, relay=root@localhost
Sep 3 02:03:41 yourserver sendmail[20000]: CAA00003: to=root, ctladdr=root (0/0), delay=00:03:39,xdelay=00:00:01, mailer=local, stat=Sent
上記の例では、スーパーユーザー宛の報告メールのみのログです。

Oct 30 05:08:28 merlin sendmail[23517]: FAA23517: ruleset=check_rcpt, arg1=<xxxxxxxxxx@yahoo.com>, relay=pppnnn.cybermp.net [nnn.nnn.nnn.nnn], reject=553 <xxxxxxxxxxxx@yahoo.com>... Relay operation rejected
Oct 30 05:08:29 merlin sendmail[23517]: FAA23517: from=<xxxxxx111@yahoo.com>, size=0, class=0, pri=0, nrcpts=0, proto=SMTP, relay=pppnnn.cybermp.net [nnn.nnn.nnn.nnn]
上記の例ではyahooのフリーメールを使って中継が可能かどうか調べに来ていた実記録です。送信元のIPは伏せてあります。「Relay operation rejected」と報告されている限りは外部からの中継をはじいていますので、とりあえずは安心です。
普通は試して見て中継できないと、その後は不正アクセスされることはありませんが、複数の人が頻繁にアタックをかけてくる場合には、送信元を調査した方が良いです。ですが大抵の場合は他のサーバーからの中継の場合が多いので、Webのログやルーターのログと併用して調べたり、その手の掲示板を調べた方が早いです。
FTPのログを確認
詳細ログを出力するように設定しておくと「/var/log/」の「ftpd.log」に記録されますので不正にログインされていないか確認します。
設定にもよりますがコネクトした(コネクトしようとした)時刻とアクセス元、行った操作などが記録されます。
FTPは外部に公開している人が多いので1度や2度のアクセスでは私は不正アクセスとして見なしていません。
メッセージファイルのログを確認
このファイルには色々なシステムメッセージが記録されています。発生したエラーやスーパーユーザーへのログイン記録なども残っていますので確認を行います。
Webサーバーのログを確認
「apache」に送信要求(ブラウザのために接続)されると「/var/log/」の「httpd-access.log」に接続ログ記録されてるので、不正なディレクトリアクセスやプロクシ・サーバーを試そうとしていないかなど確認を行います。
取得されたドキュメントが詳細に記録されているのでシステムに侵入しようとしている形跡などもある程度知ることができます。また、「httpd-error.log」にはエラー情報が記録されているので、各ページやCGIなどでエラーが発生していないかなども確認できます。
ですが、いまだNimdaに感染しているマシンがインターネット上に多数存在しているのも現実で、ログを見る上で非常に目障りな存在になっています。比較的新しい「apache」ではカスタムログの設定が出来ますので、以下のような定義文を書いておくとNimdaのアクセスログを分離できます。(エラーファイルは変わりませんが・・・)
# vi /usr/local/etc/apache/httpd.conf
SetEnvIf Request_URI default\.ida virus
SetEnvIf Request_URI root\.exe virus
SetEnvIf Request_URI cmd\.exe virus
CustomLog /var/log/httpd-access.log combined env=!virus
CustomLog /var/log/virus.log combined env=virus
上記の例ではNimdaのアクセスログは「httpd-access.log」には残らず「/var/log/virus.log」に吐き出されます。
その他のログ
サーバーでファイヤーウォールを使っている場合、「/var/log/」の「ipfw.today」や「ipfw.yesterday」も調査します。
また、ルーターでレポートメールを送信できる場合には、攻撃等がない場合でも1日1回はログを通知するようにしておくことをお勧めします。