【面の個人日記】CentOS7でのfirewalldの拒否されたログ取得について】

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

こちら「面の個人日記」では、セキュリティで面白そうなものや、脆弱性情報でも詳細な情報が出てきていないもの、予告や同行など、雑多な情報等をお送りします。

尚、個人の立場で書いていますので、この記事に関する事柄につきましては、サイオステクノロジー社へのご質問等はご遠慮ください。


[過去関連リンク(最新5件)]


【設定Tips】CentOS 7のfirewalldの拒否ログ設定

CentOS 7でfirewalldにより拒否されたログはデフォルトでは出力されません。

これを出力されるようにするには、firewall-cmdコマンドを使って

[root@localhost ~]# firewall-cmd --set-log-denied=all
[root@localhost ~]# firewall-cmd --reload

とすることで、ログが/var/log/messagesに出力されるようになります。

Mar 27 21:08:47 localhost kernel: FINAL_REJECT: IN=eth0 OUT= MAC=dc:b3:ba:01:f7:59:cc:ce:24:93:d1:00:08:00 SRC=120.26.14.115 DST=123.123.123.123 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=37798 DF PROTO=TCP SPT=55842 DPT=22 WINDOW=29200 RES=0x00 SYN URGP=0
Mar 27 21:08:56 localhost kernel: FINAL_REJECT: IN=eth0 OUT= MAC=dc:b3:ba:01:f7:59:cc:ce:24:93:d1:00:08:00 SRC=221.211.29.231 DST=123.123.123.123 LEN=44 TOS=0x00 PREC=0x00 TTL=40 ID=23254 PROTO=TCP SPT=61927 DPT=2222 WINDOW=1024 RES=0x00 SYN URGP=0

ここまでの手順は、firewall-cmdのログ取得設定などを検索すればすぐに出てきますが、このオプション(–set-log-denied=)はfirewall-cmdが”firewalld-0.4.3.2-8.el7″以上でないと

[root@localhost ~]# firewall-cmd --set-log-denied=all
usage: see firewall-cmd man page
firewall-cmd: error: unrecognized arguments: --set-log-denied=all

とエラーが出て認識されません。例えば、CentOS 7.2のデフォルトでは、このオプションはエラーになります。(参照: How to Log dropped packets using firewalld in RHEL7? )

“yum update firewalld”等として、firewalldのバージョンを更新することで、このオプションが使えるようになりますので気をつけましょう。


セキュリティ系連載案内


タイトルとURLをコピーしました