[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[harden-mac:0071] Re: ipfw のLOGについて
- To: <harden-mac@xxxxxxxxxx>
- Subject: [harden-mac:0071] Re: ipfw のLOGについて
- From: ISHIKAWA Yasuhisa <vm@xxxxxxxxxxxxxxxxxx>
- Date: Wed, 11 Sep 2002 13:42:01 +0900
石川です。
この件、恥ずかしながら私もよく解ってませんので、ちょっと調べました。
# こちらでもよろしくどうぞ。>片山さん
Tue, 10 Sep 2002 10:08:13 +0900, Kogule, Ryo wrote:
>古暮でございます。Jaguar でやった事はないのであくまでも一般論ですが,
>
>> 今回の10.2より、ファイアウォール機能がシステム環境設定の中に
>> ありますが、このログがどこにあるのか、ご存じの方いらっしゃい
>> ませんでしょうか。
>
>/etc/syslog.conf を触っていないのであれば,/var/log/secure.log
>になります。但し,既定では log を吐かない設定になっている様ですので,
>sysctl で net.inet.ip.fw.verbose* を設定してやる必要があるでしょ
>う。詳細は man 8 ipfw を参照して下さい。
確かに、man 8 ipfw(主に、log [logamount number] の項)に、
古暮さんのおっしゃる様に書いてありますね。
# ただし、manには/var/log/securityと書かれています。
ですので、Mac OS X 10.2で sudo sysctl -w net.inet.ip.fw.verbose=1
とし、AFP, SMB, SSHのみサービスを起動したマシンに、外からnmap -sT
つまりTCP connect() port scanや、ネットワークユーティリティでの
Portsscanや、telnetでの主要ポートへの接続などを試してみましたが、
/var/log/system.logやsecure.logには何も残らないようです。
また、syslog.confに、*.debug /var/log/all と記述して、/var/log/allを
作って、syslogdをkill -HUPして、tail -f /var/log/allして…、などしてから
上記と同様にしてみましたが、やはりipfwのログは残らないようです。
# 正確には、sshdが「Did not receive identification string from 〜」など
# 吐きますが、これは別ですね。
で、上記の状態のMac OS X 10.2で設定の確認のため、
% sudo ipfw -a show
Password:
02000 4760 680004 allow ip from any to any via lo*
02010 0 0 deny ip from 127.0.0.0/8 to any in
02020 0 0 deny ip from any to 127.0.0.0/8 in
02030 0 0 deny ip from 224.0.0.0/3 to any in
02040 0 0 deny tcp from any to 224.0.0.0/3 in
02050 149520 6108959 allow tcp from any to any out
02060 6263 333300 allow tcp from any to any established
02070 11 620 allow tcp from any to any 548 in
02080 12 660 allow tcp from any to any 427 in
02090 97 6280 allow tcp from any to any 22 in
02100 13 712 allow tcp from any to any 139 in
12180 145526 8666140 reset tcp from any to any setup
12190 28 1120 deny tcp from any to any
65535 3264 424324 allow ip from any to any
としてみましたが、logオプションが一つも付いてないですね。
じゃぁlogオプションを付ければと思ってちょっと困ったのですが、
10.2からipfwというかファイアウォール機能は /System/Library/
StartupItems/Network Extensions/NetworkExtensions から
起動されていますよね。この NetworkExtensions を見ると、
fwConfig=/Library/Preferences/com.apple.sharing.firewall.plist
と設定ファイルの場所が書かれている様なので、これを Property List
Editor で開いてみたのですが、どこをどういじるとlogオプションを
付加できるのかがよく解りません。
com.apple.sharing.firewall.plistを見ている限り、確かにシステム環境
設定の共有で行った変更(サービスのON/OFF等)は反映されている
様なのですが....。
では、直接ipfwを叩いてみようという事で、
02070 0 0 allow tcp from any to any 548 in
02080 0 0 allow tcp from any to any 427 in
12190 0 0 deny tcp from any to any
の3つのルールを一度削除して、それぞれのルール番号を変えないまま
logオプションだけ追加して稼働させてみましたが、やはりポートスキャン
などのlogは残りません。
ただし、com.apple.sharing.firewall.plist のstateというPropertyは
NoからYesに変わってはいました。
さらに、一度GUI上でファイアウォールを再起動するとlogオプションの無い
元のルールに戻ってしまうようです。
何か、私が根本的な間違いをしている気もするのですが、結局ipfwのルールは
com.apple.sharing.firewall.plist しか見ていないという事なのでしょうかね。
それならipfwが再起動されるとルールが元に戻るのも納得できるのですが。
com.apple.sharing.firewall.plist にログを取るPropertyを追加する方法が
あるのでしょうか?
それともipfwの設定ファイルは、どこか他にもあるのでしょうか?
もしかすると、Mac OS X 10.2のカーネルは IPFIREWALL_VERBOSE が
無効なままコンパイルされていたりするのでしょうか?
ご存じの方がいらっしゃいましたら教えて頂ければ幸いです。
ちなみにMac OS X Server 10.2をつらつらと眺めてみたところ、
/Library/Preferences/com.apple.sharing.firewall.plist は無いので、
どこか他の所に設定があるのだとは思いますが。
Mac OS X Serverだとロギングを有効にすれば、/var/log/system.logに
ipfwのログが吐かれてますね。
--
| 石川 泰久/vm_converter
| セキュリティ・スタジアム実行委員会
| vm@xxxxxxxxxxxxxxxxxx
| http://homepage.mac.com/vm_converter/
____________________________________________________
◆Harden-Mac ML
http://homepage.mac.com/vm_converter/harden-mac.html
◆セキュリティ・スタジアム2002
http://www.security-stadium.org/
--[PR]------------------------------------------------------------------
‥……━━━★あなたにあてはまることいくつありますか?★━━━……‥
□朝はとても忙しい □原因不明の吹き出物がある □ダイエットがしたい
□生活のリズムが不規則だ□薬に頼らないで便秘を治したい □お茶が好き
【完全無料】からだが喜ぶお茶★サンプル3パックを全員にプレゼント!
いますぐアクセス!⇒ http://ad.freeml.com/cgi-bin/ad.cgi?id=bpDEf
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp