2005-08-04
● [雑記] Mighty Mouse
アップルのMighty Mouse、ほしいなぁと思った。Windowsユーザーだけどさ。
日本でもiTunes Music Storeがいよいよ今日にでもはじまる、という日経新聞を読んで久々に http://www.apple.co.jp/ のトップページを開いたけれども、まだそういうアナウンスは出ていませんでした。今日の夜?
(11:30 追記)
…と思っていたら、国内最大級のミュージックダウンロードストア。ということで出てました。いろいろ遊んでみようとおもいます。
● 
LogWatch for sshd
LogWatch は、サーバー上の毎日のログを整理してメールで報告してくれる便利なツールです。しかし、それぞれのサービスごとに幅広いフォーマットのログを解析する必要があり、「想定外」のフォーマットに遭遇すると整理しきれず「生のログ」を吐き出すことがあります。
最近、OpenSSHのポートに対して辞書攻撃をされることが多く、毎日
sshd[28903]: Illegal user sql from 202.44.12.206 sshd[28903]: error: Could not get shadow information for NOUSER sshd[28903]: Failed password for illegal user sql from 202.44.12.206 port 48615 ssh2
といったログが残っていました。これが通常のログイン失敗と同レベルで報告されるのですが、"Could not get shadow information for NOUSER" の行が「想定外」にあたるらしく、そのため LogWatch の報告メールが 1M を超えることもざらでした。
そこで、まずは "Could not get shadow information for NOUSER" をまとめることと、そして同じIPから複数のチャレンジがあった際にそれを「辞書攻撃(Dictionary Attack)」とみなし、まとめてしまうように LogWatch の sshd 部分を改変しましたので、ここにそのパッチを載せておきます。
(Download: logwatch-sshd.patch)
このパッチの導入により、sshd の報告はわずか20行程度に収まるようになりました:
Dictionary Attack from these: 202.44.12.206: 49 Times(s) 59-120-54-72.HINET-IP.hinet.net (59.120.54.72): 107 Times(s) mail.sinopacasia.com (202.64.238.6): 34 Times(s) u15154847.onlinehome-server.com (217.160.251.66): 314 Times(s) Error in PAM authentication: error: Could not get shadow information for NOUSER : 412 Time(s) error: Could not get shadow information for backup : 3 Time(s) error: Could not get shadow information for gnats : 1 Time(s) error: Could not get shadow information for irc : 3 Time(s) error: Could not get shadow information for list : 2 Time(s) error: Could not get shadow information for news : 1 Time(s) error: Could not get shadow information for uucp : 1 Time(s)
ちなみに、この Could not get ... は PAM 認証の際に、ユーザー名に対応するエントリが /etc/shadow に見つからないというエラーですので、sshd の、というよりは PAM のエラーですから、PAM Error として分類してあります。そもそも、OpenSSH が存在しないユーザー名に対していちいち PAM 認証する必要があるのかどうか微妙なところですが…