こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。
こちら「面の個人日記」では、セキュリティで面白そうなものや、脆弱性情報でも詳細な情報が出てきていないもの、予告や同行など、雑多な情報等をお送りします。
尚、個人の立場で書いていますので、この記事に関する事柄につきましては、サイオステクノロジー社へのご質問等はご遠慮ください。
[過去関連リンク(最新5件)]
【設定Tips】CentOS 7のfirewalldの拒否ログ設定
CentOS 7でfirewalldにより拒否されたログはデフォルトでは出力されません。
これを出力されるようにするには、firewall-cmdコマンドを使って
[root@localhost ~]# firewall-cmd --set-log-denied=all [root@localhost ~]# firewall-cmd --reload
とすることで、ログが/var/log/messagesに出力されるようになります。
Mar 27 21:08:47 localhost kernel: FINAL_REJECT: IN=eth0 OUT= MAC=dc:b3:ba:01:f7:59:cc:ce:24:93:d1:00:08:00 SRC=120.26.14.115 DST=123.123.123.123 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=37798 DF PROTO=TCP SPT=55842 DPT=22 WINDOW=29200 RES=0x00 SYN URGP=0 Mar 27 21:08:56 localhost kernel: FINAL_REJECT: IN=eth0 OUT= MAC=dc:b3:ba:01:f7:59:cc:ce:24:93:d1:00:08:00 SRC=221.211.29.231 DST=123.123.123.123 LEN=44 TOS=0x00 PREC=0x00 TTL=40 ID=23254 PROTO=TCP SPT=61927 DPT=2222 WINDOW=1024 RES=0x00 SYN URGP=0
ここまでの手順は、firewall-cmdのログ取得設定などを検索すればすぐに出てきますが、このオプション(–set-log-denied=)はfirewall-cmdが”firewalld-0.4.3.2-8.el7″以上でないと
[root@localhost ~]# firewall-cmd --set-log-denied=all usage: see firewall-cmd man page firewall-cmd: error: unrecognized arguments: --set-log-denied=all
とエラーが出て認識されません。例えば、CentOS 7.2のデフォルトでは、このオプションはエラーになります。(参照: How to Log dropped packets using firewalld in RHEL7? )
“yum update firewalld”等として、firewalldのバージョンを更新することで、このオプションが使えるようになりますので気をつけましょう。
セキュリティ系連載案内
- OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
- OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
- OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
- OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
- OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる?」が連載されています。
- OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter(BPF)入門」が連載されています。
