Linuxでマシンを監視するarpwatch
- カテゴリ:
- Linux
Winnyなどによるファイル流出が止まず、頭の痛い人が多いでしょうが私物PCの持込みを制限する方法はもちろんいろいろあります。スイッチで登録したMACアドレスだけを利用可能とするとか、これはちょっといいスイッチを買えば普通出来ます。無線LANももちろん登録したMACアドレスだけの制限も可能です。
MACアドレスは各PC(正確にはNIC)に割り当てられた番号のようなもので、世界中で重複しないものが利用されているはずです。ということで社内PCのMACアドレスを調べて登録し、それ以外使えないようにすればとりあえず問題解決。
しかしこの方法は当然ながら結構面倒です。そこで便利なのがarpwatchというプログラム。これを使うと勝手に監視してくれます。Red Hat系であればこんな感じでインストールできるはず。
# yum install arpwatch
# chkconfig arpwatch on
# service arpwatch start
上記手順で起動後はネットワークを監視し、新しいMACアドレスが見つかるたびにrootユーザ宛て(変更可)に下記のようなメールを送ります。最初は当然ながら接続されているすべてのネットワーク機器が通達されるわけです。
Subject: new station
hostname: <unknown>
ip address: 192.168.0.33
ethernet address: 0:e3:c8:ea:27:ec
ethernet vendor: ABC COMPUTER INC.
timestamp: Tuesday, Mar 7, 2006 12:04:21 +0900
それとログにも保存されます。
# tail /var/log/messages
May 17 13:02:33 myserver arpwatch: new station 192.168.0.12 0c:a2:18:1d:4e:df
ちなみに発見されたMACアドレスは/var/arpwatch/arp.datに保存されます。これ以降は新しいPCなどが接続されるとすぐ分かりますので、管理者が目で見張る必要は少なくともなくなります。
それとMACアドレスの前6桁は製造メーカごとに割り当てられていて、下記のページで調べられます。000A27はApple Computer, Inc.とか、すぐに分かるわけです。
IEEE OUI and Company_id Assignments
コメント