さくらのVPSのsyslogをrsyslogに切り替える


 Fail2banがよく働いてくれるお陰でだいぶ平穏を取り戻したLogwatchの自動報告メールだが、

**Unmatched Entries**
 dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user test
(以下延々と同文)

こんな攻撃ログが残っていて気になる。攻撃回数はmaxretryを大幅に超えているが、Fail2banの遮断に引っ掛かっていない。Gaminを使っているので、攻撃がログに入ったら割とすぐに遮断するはずなのだ。
 発生時刻をPAMのログから確認し、同時刻のDovecotのログを確認すると、

Mar  1 05:42:50 *** dovecot: pop3-login: Aborted login: user=<test>, method=PLAIN, rip=::ffff:41.143.25.29, lip=::ffff:*.*.*.*
Mar  1 05:43:23 *** last message repeated 8 times
Mar  1 05:43:51 *** last message repeated 7 times

という部分を発見。こいつか…。前にも問題起こしてたよな…。
 つまり、syslogdが「同じログが続くから省略しときますね」と余計なことをしたお陰で、Fail2banは攻撃が繰り返されたことを認識していないのである。

 それでは、syslogdに省略をやめさせる設定はあるのだろうか。調べてみると、「FreeBSDならあるけどLinuxだと無いっぽいよ」とかあるな。むしろRedHatはデフォをrsyslogに切り替えたらしく、rsyslogはこの問題にも対応しているらしい。OK。それならこちらも切り替えだ。
 切り替え作業は非常に簡単で、yumでrsyslogを入れて、serviceとchkconfigでsyslogからrsyslogに切り替えるだけ。syslogもデフォ設定だったから、移行作業とか皆無。
 でも、ログの省略を抑制するのが目的なので、rsyslogdの起動オプションに-eを付けてみた。そしてloggerで送信テストして、syslogを確認。問題無し。というか、rsyslogの起動ログに「-eとか廃止されたっすよ、もう省略とかしないんで」などとあったので、元に戻した。

 ちなみに、今回の攻撃元はモロッコのようだ。モロッコ。性転換くらいしかイメージが沸かないが、ちょっとWikipediaでどんな国か見てみようか。

モロッコという国名から「性転換」手術をイメージする人々が、特に1970年生まれ以前の世代では少なからず存在している。

 え。いや、性転換とかタイですよね普通。うんうん。タイだよタイ。モロッコなんてペンギンくらいしか思い出さないよね。犬の歯とかお弁当大好きとかね。
 つーか俺その世代じゃないけどな、と一応は書いておく(笑)。

(Visited 422 times, 1 visits today)

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください