「scanlogd」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「<!-- vim: filetype=mediawiki --> scanlogd とは、TCP ポートスキャン 検出ツールです。 読み方 ;scanlogd: すきゃん ろぐ でぃ...」)
 
(相違点なし)

2013年8月24日 (土) 18:20時点における最新版

scanlogd とは、TCP ポートスキャン 検出ツールです。

読み方

scanlogd
すきゃん ろぐ でぃー

概要

インストール

FreeBSDにインストールする場合

ports コレクションからインストールする場合

cd /usr/ports/security/scanlogd
sudo make install clean

pkgコマンドでインストールする場合

sudo pkg install scanlogd

portmasterコマンドでインストールする場合

sudo portmaster -y -d /usr/ports/security/scanlogd

portinstallコマンドでインストールする場合

sudo portinstall /usr/ports/security/scanlogd

ユーザとグループの追加

sudo pw groupadd scanlogd
sudo pw useradd scanlogd -d /nonexistent -g scanlogd -s /sbin/nologin -c SCANLOGD

設定

FreeBSD /etc/syslog.conf

FreeBSD の syslog.conf を以下のように設定します。

daemon.alert                                    /var/log/alert

設定の反映は、以下の通りです。

sudo /etc/rc.d/syslog reload

インストールされたファイル

FreeBSD の場合です。

% pkg_info -L /var/db/pkg/scanlog*
Information for scanlogd-2.2.6_1:
 
Files:
/usr/local/bin/scanlogd
/usr/local/man/man8/scanlogd.8.gz
/usr/local/etc/rc.d/scanlogd

使い方

/etc/rc.conf

scanlogd_enable="YES"
sudo /usr/local/etc/rc.d/scanlogd


エラー

起動時にデバイス周りでエラーになりました。

% sudo -u scanlogd scanlogd
pcap_lookupdev: no suitable device found
% sudo scanlogd
pcap_compile: USB link-layer type filtering not implemented
% sudo  /usr/local/etc/rc.d/scanlogd start
Starting scanlogd.
pcap_compile: USB link-layer type filtering not implemented
/usr/local/etc/rc.d/scanlogd: WARNING: failed to start scanlogd

pcap_lookupdev が usbus0 を返すので、上記のエラーが発生していました。

in_pcap.c の in_init() で明示的にインターフェース(ネットワークカード)を指定してしまえば、問題ありません。

% sudo sysctl hw.usb.no_pf=1
hw.usb.no_pf: 0 -> 1

関連項目