・システムの調査

一旦ここでシステムの状態を確認しよう!

色々インストールしたし、想定外のサービスが上がっていないか、不要なポートが開いちゃってないかチェックしよう。

まずは、ネットワークの状態を確認するよ。

 

 

【ネットワークの状態を確認】
netstatを使ってネットワークの接続状態を確認するよ。

パラメータはいっぱいあるんで適時調べてね。

netstat -pln
 
稼働中のインターネット接続 (サーバのみ)
Proto 受信-Q 送信-Q 内部アドレス            外部アドレス            状態        PID/Program name
tcp        0      0 127.0.0.1:xxxx          0.0.0.0:*               LISTEN      1647/xxxxxx
tcp        0      0 0.0.0.0:xxx             0.0.0.0:*               LISTEN      1888/master
tcp        0      0 0.0.0.0:xxx             0.0.0.0:*               LISTEN      1888/master
	:
	:

【プロセスが使用中のファイルを調べる】

次は「lsof」コマンドを使ってみるよ。
「lsof」はプロセスが使用中のファイルを調べたりできる!

lsof -p プロセスID指定

lsof -p 5508
COMMAND  PID    USER   FD   TYPE             DEVICE    SIZE    NODE NAME
pickup  5508 postfix  cwd    DIR                3,1    4096  205223 /var/spool/postfix
pickup  5508 postfix  rtd    DIR                3,1    4096  205223 /var/spool/postfix
pickup  5508 postfix  txt    REG                3,1   14624  321311 /usr/lib/postfix/pickup
	:
	:

lsof -u ユーザ指定

lsof -u root|grep saslauthd
saslauthd 1923 root  cwd       DIR                3,1    4096     204947 /var/run/saslauthd
saslauthd 1923 root  rtd       DIR                3,1    4096          2 /
saslauthd 1923 root  txt       REG                3,1   90392     277094 /usr/sbin/saslauthd
saslauthd 1923 root  mem       REG                3,1  986112     205293 /var/run/saslauthd/cache.mmap
	:
	:

lsof -c プロセス指定

lsof -c sshd
COMMAND  PID    USER   FD   TYPE             DEVICE    SIZE    NODE NAME
sshd    1692    root  cwd    DIR                3,1    4096       2 /
sshd    1692    root  rtd    DIR                3,1    4096       2 /
sshd    1692    root  txt    REG                3,1  474640  274984 /usr/sbin/sshd
sshd    1692    root  mem    REG                3,1   47520 1056784 /lib/libnss_files-2.7.so
	:
	:

lsof -i :ポート番号

lsof -i :587
COMMAND  PID USER   FD   TYPE DEVICE SIZE NODE NAME
master  1888 root   16u  IPv4   4918       TCP *:submission (LISTEN)
	:

【全ポートスキャン】

 nmap -sT -p1-65535 localhost

 

そんで、次はLogの調査

・ログの調査
swatchとか入て監視するのとは別に、 すぐに生ログが見たい時は、自力でログをみやすくしてみよう
僕の場合は、見なくてもいい所を消ってる。。

 

■auth.log
見難くなるので、不要と思われるものをgrepのパラメータ「v」で除外する
大文字と小文字を区別しない「i」をつけておく

cat /var/log/auth.log|grep -vi cron

■syslog

これも上と同じで「cron」は除く

cat /var/log/auth.log|grep -vi cron

■messages

上とあんま変わんないけど、正規表現を使ってOR条件

cat /var/log/messages|egrep -vi 'kernel|sudo'

 

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です