Debian12.8 ; Logwatch,Chkrootkit,ディスク使用率チェックスクリプト

Contents

Logwatch
Chkrootkit
ディスク使用率チェックスクリプト

Logwatch

Logwatch は、いろいろなログをまとめて集計し、レポートとして毎日定期的にメールで届けてくれる。不正アクセスや不具合の発見とサーバの監視に便利なツール。

①インストール

# apt -y install logwatch

1	# apt -y install logwatch

②デフォルトの設定ファイルをコピー

# cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/

1	# cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/

➂メールの送信先等を変更

# vi /etc/logwatch/conf/logwatch.conf

●52 行目あたり
「MailTo = root」の行頭に「#」を挿入し、その下行に通知を受け取りたいメールアドレスを設定
#MailTo = root
MailTo = [メールアドレス]
●85行目あたりログ通知の詳細度を設定
#Detail = Low
Detail = High

# vi /etc/logwatch/conf/logwatch.conf

●52 行目あたり

「MailTo = root」の行頭に「#」を挿入し、その下行に通知を受け取りたいメールアドレスを設定

#MailTo = root

MailTo = [メールアドレス]

●85行目あたりログ通知の詳細度を設定

#Detail = Low

Detail = High

④ディレクトリの作成

# mkdir /var/cache/logwatch

1	# mkdir /var/cache/logwatch

⑤動作確認
logwatch をインストールするとデフォルトで cron 登録されるので、毎日レポートメールが届く
設定したアドレスにレポートが届くかテストを行います。

# /etc/cron.daily/00logwatch

1	# /etc/cron.daily/00logwatch

Chkrootkit

chkrootkitはルートキットの存在を検知するためのツール。
なお、chkrootkitは既に改ざんされた後では意味がないため、導入時には考慮が必要です。また、chkrootkitはrootkitを検出しても自動的に対処する機能はないため、検出後は手動で対応する必要があります。

①chkrootkit をインストール

# apt -y install chkrootkit

1	# apt -y install chkrootkit

➁chkrootkit を確認

# chkrootkit | grep INFECTED
何も表示されなければ問題ありません

1 2	# chkrootkit \| grep INFECTED 何も表示されなければ問題ありません

④chkrootkit 定期実行スクリプトの作成と権限変更

自動で /usr/sbin/chkrootkit-dailyをもとに/etc/cron.daily/chkrtootkit が作成され、毎日自動で実行されるので、スクリプトの作成は不要。
これで、rootkit が仕掛けられていた場合に root 宛にメールが届くようになる。

ディスク使用率チェックスクリプト

1. スクリプト作成

# cd /opt/script/
# vi disk_capacity_check.sh

1 2	# cd /opt/script/ # vi disk_capacity_check.sh

disk_capacity_check.shの内容

#!/bin/bash

#通知先メールアドレス指定
MAIL="<your mailaddress> "

DVAL=`/bin/df / | /usr/bin/tail -1 | /bin/sed 's/^.* \([0-9]*\)%.*$/\1/'`

if [ $DVAL -gt 80 ]; then
echo "Disk usage alert: $DVAL %" | mail -s "Disk Space Alert in `hostname`" $MAIL
fi

#!/bin/bash

#通知先メールアドレス指定

MAIL="<your mailaddress> "

DVAL=`/bin/df / | /usr/bin/tail -1 | /bin/sed 's/^.* $[0-9]*$%.*$/\1/'`

if [ $DVAL -gt 80 ]; then

echo "Disk usage alert: $DVAL %" | mail -s "Disk Space Alert in `hostname`" $MAIL

# chmod 700 disk_capacity_check.sh

1	# chmod 700 disk_capacity_check.sh

2. 実行確認

①現在の使用率を確認

# df -h

# df -h

次のように表示される

Filesystem      Size  Used Avail Use% Mounted on
udev            1.9G     0  1.9G   0% /dev
tmpfs           389M  752K  388M   1% /run
/dev/sda1        19G  2.5G   16G  14% /
tmpfs           1.9G     0  1.9G   0% /dev/shm
tmpfs           5.0M     0  5.0M   0% /run/lock
tmpfs           389M     0  389M   0% /run/user/1000

Filesystem Size Used Avail Use% Mounted on

udev 1.9G 0 1.9G 0% /dev

tmpfs 389M 752K 388M 1% /run

/dev/sda1 19G 2.5G 16G 14% /

tmpfs 1.9G 0 1.9G 0% /dev/shm

tmpfs 5.0M 0 5.0M 0% /run/lock

tmpfs 389M 0 389M 0% /run/user/1000

②使用率80%以上になるようダミーファイルを作成(例ではdummyfile という名前で15G程度)

# dd if=/dev/zero of=dummyfile bs=1M count=15000

1	# dd if=/dev/zero of=dummyfile bs=1M count=15000

③再度確認

# df -h

# df -h

を実行して80%以上になっていることを確認

④ディスク容量チェックスクリプトを実行

# /opt/script/disk_capacity_check.sh

1	# /opt/script/disk_capacity_check.sh

設定したメールアドレスに本文の内容として「Disk usage alert : 98%」のように記載のメールが届きます

⑤作成した「dummyfile」を削除

# rm dummyfile

1	# rm dummyfile

⑥定期実行設定

# crontab -e
30 2 * * * /opt/script/disk_capacity_check.sh

1 2	# crontab -e 30 2 * * * /opt/script/disk_capacity_check.sh

ページのトップへ