はじめに
個人サーバといえども、最低限のセキュリティ対策はしておきたい。
ということで、過去の投稿でウィルス対策、スパイウェア対策は実施しました。
(実際の所は、本当に設定しただけなので監視(気付ける仕組み作り)も残ってるのですが…。)
残るはWAFとIPSを導入すれば、最低限のセキュリティ対策は実施できた。
と言えるかな…と個人的には思ってます。
(最終的にはCentOS8への移行もありますし、IaCで設定を管理できればな…と思います。)
あ、ついでに素晴らしい記事を期待してしまった方の為に最初にネタ晴らししておくと、自分のPCのIPアドレスを除外して終了となります。
mod_securityのログ急増
そもそも、mod_securityがインストールされてる事自体気付いてませんでした。
検知のみモードで動作していたようですが、そのログがここ最近急増しています。
(最新のログは対処中なので比較的少なめ)
[root@hayate httpd]# ll -h | grep modsec_audit
-rw-r----- 1 root root 8.3M 3月 2 21:52 modsec_audit.log
-rw-r----- 1 root root 2.6M 1月 25 21:04 modsec_audit.log-20200126
-rw-r----- 1 root root 523K 2月 21 01:00 modsec_audit.log-20200221
-rw-r----- 1 root root 869K 2月 23 02:05 modsec_audit.log-20200223
-rw-r----- 1 root root 104M 3月 1 02:16 modsec_audit.log-20200301
各Severity(重要度)毎の検知数
[root@hayate httpd]# cat ./modsec_audit.log-20200301 | grep Message | grep EMERGENCY | wc -l
0
[root@hayate httpd]# cat ./modsec_audit.log-20200301 | grep Message | grep ALERT | wc -l
1
[root@hayate httpd]# cat ./modsec_audit.log-20200301 | grep Message | grep CRITICAL | wc -l
23595
[root@hayate httpd]# cat ./modsec_audit.log-20200301 | grep Message | grep ERROR | wc -l
1
[root@hayate httpd]# cat ./modsec_audit.log-20200301 | grep Message | grep WARNING | wc -l
1525
[root@hayate httpd]# cat ./modsec_audit.log-20200301 | grep Message | grep NOTICE | wc -l
1794
[root@hayate httpd]# cat ./modsec_audit.log-20200301 | grep Message | grep INFO | wc -l
0
[root@hayate httpd]# cat ./modsec_audit.log-20200301 | grep Message | grep DEBUG | wc -l
0
[root@hayate httpd]#
各ID毎の検知数
[root@hayate httpd]# cat /var/log/httpd/modsec_audit.log-20200301 | grep Message | sed -e "s/.*\[id/\[id/g"| sed -e "s/"\].*/"\]/g" | sort | uniq -c
103 [id "2000"]
606 [id "950001"]
1 [id "950006"]
1 [id "950120"]
4 [id "950901"]
3 [id "950907"]
1 [id "958977"]
621 [id "959073"]
8 [id "959151"]
267 [id "960008"]
370 [id "960009"]
10433 [id "960010"]
1422 [id "960015"]
1240 [id "960017"]
3193 [id "960024"]
11 [id "960032"]
7 [id "960038"]
2 [id "960904"]
11 [id "960911"]
1 [id "970901"]
1 [id "973333"]
196 [id "981172"]
4548 [id "981173"]
1 [id "981202"]
835 [id "981203"]
15059 [id "981204"]
2 [id "981231"]
120 [id "981242"]
3234 [id "981243"]
3235 [id "981245"]
3114 [id "981246"]
3233 [id "981257"]
441 [id "981318"]
26 [id "981319"]
各IP毎の検知数
[root@hayate httpd]# cat /var/log/httpd/modsec_audit.log-20200301 | grep Apache-Error | sed -e "s/.*\[client /\[client /g"| sed -e "s/"\]
.*/"\]/g" | sort | uniq -c
34 [client 106.52.178.254]
34 [client 122.51.198.147]
68 [client 125.75.1.17]
18 [client 130.255.143.167]
34 [client 132.145.137.198]
34 [client 15.206.28.156]
28 [client 180.15.205.43]
10 [client 182.138.158.182]
13 [client 182.61.108.144]
16 [client 185.142.236.34]
88 [client 185.234.216.198]
88 [client 185.234.217.32]
45077 [client 192.168.0.11]
34 [client 193.57.40.38]
10 [client 194.180.224.249]
11 [client 198.98.50.164]
28 [client 222.186.19.221]
4700 [client 47.89.225.94]
34 [client 49.234.145.200]
97 [client 5.101.0.209]
892 [client 91.192.236.21]
18 [client 91.199.118.136]
16 [client 93.174.95.106]
※長すぎたので10件以下は削除しました。
…なるほど。謎は全て解けました。犯人はこの部屋に居ます。
IPアドレスの除外設定
最近Zabbixをインストールしてたくさんアクセスしていたせいか、そのせいでログが急増しているだけでした。
/etc/httpd/conf.d/mod_security.conf
#white IP
SecRule REMOTE_ADDR "@ipMatch 192.168.0.11" "phase:1,id:1,nolog,allow,ctl:ruleEngine=Off,ctl:auditEngine=Off"
不要なログで溢れないようになっただけで、セキュリティ面ではまだまだこれから確認しないといけないですが、本記事はここまでにしたいと思います。