% psionic은 오래전에(?) cisco에 합병된것으로 보입니다.
라이센스가 Common Public License로 변경되고 현재 sf.net으로 프로젝트 홈페이지가 변경되었습니다.
http://sourceforge.net/projects/sentrytools/
----------------------------------------------------------------------------------------------
http://psionic.com 에서 배포하는 로그분석 프로그램입니다.
일단 설치를 마치면 /etc/cron.hourly/logcheck.sh과
/etc/logcheck디렉토리가 생성됩니다. 모든 설정파일이 들어있습니다.
[/etc/logcheck]#ls
hacking ignore logcheck.conf violations violations.ignore
logcheck는 크론에 등록되어(/etc/cron.hourly/logcheck.sh)한시간마다 로그를
분석해서 시스템공격 로그나 시스템상의 일상적이지 않은 보안이나 문제등의
로그를 루트나 시스템관리자에게 메일을 보냅니다.
hacking = 외부에서 센드메일로 루트계정을 확인하려 했거나 루트의 로그인실패
등을 설정하는 파일
ignore = 말그대로 logcheck가 무시할 로그들을 적어줍니다.
logcheck.conf = logcheck의 메인설정파일
수정할곳은
SYSADMIN=root 이부분을 루트의 계정으로 두던지 아니면 메일을 받을 사용자
아이디를 적으면 됩니다.
# logcheck로 분석할 로그를 적어줍니다.
LOGFILES="/var/log/messages
/var/log/secure
/var/log/maillog
/var/log/proftpd.log"
violations.ignore = 시스템의 일반적인 크론의 메세지나 기타 데몬의 로그를
무시하게 하는 설정파일
보통 root로 메일을 받겠지만 /etc/aliases파일등에 root의 메일을 받을아이디를
적어주면 따로 메일을 받아볼수있습니다.
aliases마지막에 아래처럼 적어주고 newaliases하면 됩니다.
# root로 오는 메일을 받을 사람을 지정.
root: 사용자계정아이디
첨부파일은 logcheck-1.1.1-6.i386.rpm입니다.
레드햇7.1에서 테스트했습니다.현재 logcheck는 데비안용과 sentrytool 두가지로 배포가 되고 있습니다.
관련 링크: http://psionic.com
'Security' 카테고리의 다른 글
root가 생성하는 파일모드를 600으로 만들기 (0) | 2001.10.03 |
---|---|
nimda worm 체크 센드메일 룰셋 (0) | 2001.09.21 |
리눅스에서 표준보안 퍼미션 (0) | 2001.09.03 |
CGI의 보안취약점 (0) | 2001.09.03 |
tcpdump(네트워크 모니터링툴) (0) | 2001.09.03 |