一旦ここでシステムの状態を確認しよう!
色々インストールしたし、想定外のサービスが上がっていないか、不要なポートが開いちゃってないかチェックしよう。
まずは、ネットワークの状態を確認するよ。
【ネットワークの状態を確認】
netstatを使ってネットワークの接続状態を確認するよ。
パラメータはいっぱいあるんで適時調べてね。
netstat -pln 稼働中のインターネット接続 (サーバのみ) Proto 受信-Q 送信-Q 内部アドレス 外部アドレス 状態 PID/Program name tcp 0 0 127.0.0.1:xxxx 0.0.0.0:* LISTEN 1647/xxxxxx tcp 0 0 0.0.0.0:xxx 0.0.0.0:* LISTEN 1888/master tcp 0 0 0.0.0.0:xxx 0.0.0.0:* LISTEN 1888/master : : |
【プロセスが使用中のファイルを調べる】
次は「lsof」コマンドを使ってみるよ。
「lsof」はプロセスが使用中のファイルを調べたりできる!
lsof -p プロセスID指定
lsof -p 5508 COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME pickup 5508 postfix cwd DIR 3,1 4096 205223 /var/spool/postfix pickup 5508 postfix rtd DIR 3,1 4096 205223 /var/spool/postfix pickup 5508 postfix txt REG 3,1 14624 321311 /usr/lib/postfix/pickup : : |
lsof -u ユーザ指定
lsof -u root|grep saslauthd saslauthd 1923 root cwd DIR 3,1 4096 204947 /var/run/saslauthd saslauthd 1923 root rtd DIR 3,1 4096 2 / saslauthd 1923 root txt REG 3,1 90392 277094 /usr/sbin/saslauthd saslauthd 1923 root mem REG 3,1 986112 205293 /var/run/saslauthd/cache.mmap : : |
lsof -c プロセス指定
lsof -c sshd COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME sshd 1692 root cwd DIR 3,1 4096 2 / sshd 1692 root rtd DIR 3,1 4096 2 / sshd 1692 root txt REG 3,1 474640 274984 /usr/sbin/sshd sshd 1692 root mem REG 3,1 47520 1056784 /lib/libnss_files-2.7.so : : |
lsof -i :ポート番号
lsof -i :587 COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME master 1888 root 16u IPv4 4918 TCP *:submission (LISTEN) : |
【全ポートスキャン】
nmap -sT -p1-65535 localhost |
そんで、次はLogの調査
・ログの調査
swatchとか入て監視するのとは別に、 すぐに生ログが見たい時は、自力でログをみやすくしてみよう
僕の場合は、見なくてもいい所を消ってる。。
■auth.log
見難くなるので、不要と思われるものをgrepのパラメータ「v」で除外する
大文字と小文字を区別しない「i」をつけておく
cat /var/log/auth.log|grep -vi cron |
■syslog
これも上と同じで「cron」は除く
cat /var/log/auth.log|grep -vi cron |
■messages
上とあんま変わんないけど、正規表現を使ってOR条件
cat /var/log/messages|egrep -vi 'kernel|sudo' |
