[harden-mac:0072] Re: ipfw のLOGについて

["Kogule, Ryo" <aqua_dabbler@xxxxxxx>]

古暮でございます。
# 忙しいので詳細調べられませんが，気付いたところだけ。


On 2002.Sep.11, at 13:42 Asia/Tokyo, ISHIKAWA Yasuhisa wrote:
> # ただし、manには/var/log/securityと書かれています。

これは man の間違いかと思います。IPFirewall の source をざっと覗い
たところ，やはり LOG_AUTHPRIV で log を吐いているようですし，/etc
/syslog.conf では

authpriv.*;remoteauth.crit                 /var/log/secure.log

となっていますので。
# というか，syslog.conf には /var/log/security というのはない。


> ですので、Mac OS X 10.2で sudo sysctl -w net.inet.ip.fw.verbose=1
> とし、AFP, SMB, SSHのみサービスを起動したマシンに、外からnmap -sT
> つまりTCP connect() port scanや、ネットワークユーティリティでの
> Portsscanや、telnetでの主要ポートへの接続などを試してみましたが、
> /var/log/system.logやsecure.logには何も残らないようです。

ざっと見ただけでは吐きそうな感じです。
# マア，ほんとにざっと見ただけなので見落しがある可能性大ですが……

一つ気になったのですが，net.inet.ip.fw.verbose_limit はちゃんと設
定されているでしょうか？


> また、syslog.confに、*.debug      /var/log/all と記述して、/var/log/allを
> 作って、syslogdをkill -HUPして、tail -f /var/log/allして…、などしてから
> 上記と同様にしてみましたが、やはりipfwのログは残らないようです。

やはり source を見た限り LOG_DEBUG は使っていない様です。使われて
いるのは LOG_INFO, LOG_NOTICE 辺りです。


> もしかすると、Mac OS X 10.2のカーネルは IPFIREWALL_VERBOSE が
> 無効なままコンパイルされていたりするのでしょうか？

この可能性も高いです。手元にある xnu/bsd/conf/MASTER では

#options        IPFIREWALL_VERBOSE      #      # <ipfirewall>

となってますので。
# 石川さん，時間があったら上記の # を外して kernel 再構築してみませんか？ ;-)