特定のIPアドレスからの通信を遮断する

http://itpro.nikkeibp.co.jp/article/COLUMN/20060227/230874/

特定アドレスを遮断しておく

route add -host xxx.xxx.xxx.xxx gw 127.0.0.1

特定アドレスを復帰させる

route del -host xxx.xxx.xxx.xxx

追記)ネットマスクで遮断する
route add -net 192.168.1.0 netmask 255.255.255.0 gw 127.0.0.1
192.168.0.1 ~ 192.168.0.255 からの通信をローカルホストへ

ルーティングテーブルの確認

route -ee

「x1x.xxx.xxx.xxx」が遮断(応答回避)したアドレスになる。
キャッシュを含めて詳細を表示する
route -FCee
nを付与でIPアドレスのみの表示に
route -FCn

ログイン履歴を確認する

last -xda
ログイン、シャットダウン、ランレベル変更履歴を追加してリモートアドレスを最後尾表示で取得し表示する。
last -xda -n10
直近10件分の表示にする。

ユーザー毎の最終ログイン日時を表示

lastlog

ログインユーザーを確認する

who -aru
システムブート日時、ランレベル、ログイン、実行ユーザーとアドレス
「who」は「who /var/run/utmp」の略なので、「/var/log/wtmp」を付与することでその履歴が確認できる。
who /var/log/wtmp
who /var/log/wtmp -aru

secure(messages)ログを確認する「/var/log/secure」

cat /var/log/secure | grep '(検索文字列)'
アクセス成功(session opened)(Accepted)など
>身に覚えのないアドレスは拒否へ
アクセス不備(Invalid)(bye)など
>繰り返している場合は要注意または即拒否へ
sshdの場合、log設定「AUTHPRIV」でsecureへ「AUTH」でmessagesへ記録される

iptableなどで接続拒否を行った場合、secureログにその記録が残る。あまりにひどい場合はログを無駄に使用することになるので今回の方法で遮断しておくことにする。再起動をした場合には設定がクリアされてしまう。スタティックルートを恒久的に設定する方法を調べる。

コメントを残す