ユーザーズガイド F-SECURE INTERNET GATEKEEPER FOR LINUX 4.01 ADMINISTRATOR GUIDE

[. . . ] F-Secure アンチウィルス Linux ゲートウェイ ― インターネットからのメール・ウェブによるウィルス侵入を水際で防ぐ 包括的インターネット・ウィルス対策ソリューション ― Version 4 Ｒｅｖ．20100125 管理者用ガイド F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド はじめに このたびは、「F-Secure アンチウィルス Linux ゲートウェイ」をご購入いただきありがとうございま す。本マニュアルでは、製品のインストールおよびアンインストール、一般的な設定例、および詳細 な設定例などについて説明しています。 なお、本マニュアルでは、「F-Secure アンチウィルス Linux ゲートウェイ」を、「Linux ゲートウェ イ」または本製品と表記します。 本マニュアルで使用するマーク マーク 説 注意していただきたいことを記載しています。 ヒント・補足情報を記載しています。 参照先を記載しています。 明 本マニュアルで使用する記号と書体 記号・書体 [ ] 説 メニュー名、項目名 明 例 [プロキシ設定]－[HTTP] を選択します。 [SMTP プロキシ]－[全体設定]－[SMTP 認証] を無効にします。 〔 〕ボタン ボタン名 ウェブ管理画面の設定値。 チェックボックスにチェックする場合は 「チェック」と表記 ABCabc123 コマンド名、ファイル名、ディレクトリ名、 # rpm -Uvh virusgw-XXX. i386. rpm ディスプレイ上の出力、コード例など ABCabc123 ABCabc123 コマンドラインでユーザが入力する文字列 コマンドラインの可変部分 〔保存・再起動〕ボタンをクリックします。 [HTTP プロキシ] ：有効 [ポート番号] ：9080 あいう ABCabc123 2 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド 目 次 1. F-Secureアンチウィルス Linuxゲートウェイ へようこそ！ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 機能一覧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2. 1 機能概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [. . . ] File_set_visible_version=YYYY-MM-DD_XX" を参照します。 ウィルス定義ファイル全体のバージ ョンは、各エンジンのバージョンの中で最大のバージョンになります。 7. 1. 3 ログ [ログ] Log 各サービスのログを表示します。 最大で 1000 行まで表示・ダウンロードできます。 ログの内容については「9. 1 ログファイル」を参照してください。 [HTTP] [SMTP] [POP] [FTP] [アクセスログ] [ウィルスログ] [情報ログ] [エラーログ] [定義ファイル] 定義ファイルの更新ログを表示します。 60 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド 7. 1. 4 トップメニュー [管理パスワード] Admin password ウェブ管理画面のパスワードを変更します。 ウェブ管理画面で [管理パスワード] を編集すると、 /home/virusgw/conf/virusgw. htdigest ファイルに反映されます。 (Apache の htdigest 認証ファイルと同じ形式です。) [診断情報] Diagnose Info 診断情報ファイル (diag. tar. gz) のダウンロードを行います。診断情報ファイルには、問題解 析に必要な本製品の設定情報・マシンの設定情報・各種ログ情報が含まれます。 "cd /home/virusgw; make diag" コマンドで作成される/home/virusgw/diag. tar. gz をダウンロードします。 サポートセンターへお問い合わせの際は、 なるべくこの診断情報ファイル (diag. tar. gz) をお 送りいただきますようお願いします。 [ライセンス情報] License ライセンス情報の入力・確認を行います。 設定後のサービスの再起動は必要ありません。ただし、使用期限が既に終了しサービスが停止し ている場合、サービスの起動が必要です。 ウェブ管理画面で [ライセンス情報] を編集すると、/home/virusgw/conf/license. txt フ ァイルに反映されます。 [バージョン情報] Version 本製品のバージョン情報および利用環境を表示します。 [ログアウト] Logout 管理画面からログアウトします。 61 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド 7. 2 アクセス制御 プロキシの設定等で、ホスト、ネットワークによるアクセス制御を行うことができます。 設定は以下のように記述します。 アクセス制御は tcpwrapper で行います。tcpwrapper についての詳細は、コマンドラインから "man 5 hosts_access" を実行して確認してください。 ■記述例 123. 456. 789. 123 999. 999. 999. 999 IP アドレスが "123. 456. 789. 123" または "999. 999. 999. 999" の時に接続を許可します。 host. domain. jp ホスト名が host. domain. jp の時に接続を許可します。 xxx. host. domain. jp は許可しません。 . domain. jp ホスト名が. domain. jp で終わるときに接続を許可します。 "xxx. domain. jp" は許可しますが、"domain. jp" 自身は許可しません。 domain. jp . domain. jp domain. jp 及び domain. jp 配下のドメインを許可します。 "xxx. domain. jp"、"domain. jp"の両方を許可します。 192. 168. 192. 168. 0. 0/255. 255. 0. 0 IP アドレスが 192. 168. 3. 4 のように指定されたネットワークに含まれるときに接続を許可します。 ネットマスクに "255. 255. 255. 255" は記述できません。 ALL 全てのホストからの接続を許可します。 ALL EXCEPT 1. 2. 3. 4 4. 5. 6. 7 IP アドレスが "1. 2. 3. 4" または "4. 5. 6. 7" 以外を許可します。 ALL EXCEPT 192. 168. 0. 0/255. 255. 0. 0 ネットワークが 192. 168. 0. 0/255. 255. 0. 0 以外を許可します。 . domain. jp EXCEPT 999. 999. 999. 999 987. 654. 321. 123 ホスト名が. domain. jp で終わり、かつ IP アドレスが 999. 999. 999. 999 でも 987. 654. 321. 123 でもない 時に接続を許可します。 /etc/virusgw_allow_list. txt 一覧ファイル (/etc/virusgw_allow_list. txt) に記述されたアドレスからの接続を許可し ます。一覧ファイルは各アドレスを 1 行ずつ、または空白区切りで記述します。 ALL EXCEPT /etc/virusgw_deny_list. txt 一覧ファイル (/etc/virusgw_deny_list. txt) に記述されたアドレス・ホストからの接続を 拒否し、それ以外を許可します。一覧ファイルは各アドレスを 1 行ずつ、または空白区切りで記 述します。 62 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド ●1 行が 2047 バイトを超える場合の注意事項 アクセス制御の設定ファイル (/home/virusgw/conf/hosts. allow) では、1 行に最大 2047 バイ トまで記述できます。それを超える場合、以下のような方法で設定してください。 • 別ファイルに一覧を記述する方法 別ファイル (例：/etc/virusgw_smtp_rcpt_allow_list. txt) に、以下のようにホスト・ド メイン一覧を記述します。 aaa. com bbb. com ccc. com また、 アクセス制御の設定で、 ファイル (/etc/virusgw_smtp_rcpt_allow_list. txt) を指 定します。これは、ウェブ管理画面で設定するか、アクセス制御の設定ファイル (/home/virusgw/conf/hosts. allow) に記述することで行います。 smtp_rcpt: /etc/virusgw_smtp_rcpt_allow_list. txt • ファイルに複数行で記述する方法 アクセス制御の設定ファイル (/home/virusgw/conf/hosts. allow) 上で、 以下のように複数 で記述します。 この場合、ウェブ管理画面上では最初の 1 行のみ表示されます。 例： smtp_rcpt: aaa. com bbb. com ccc. com smtp_rcpt: ddd. com eee. com fff. com 63 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド 7. 3 検出通知テンプレート 検出通知テンプレートの先頭行には、ヘッダを記述できます。 SMTP サービスで送信者へ通知、及び管理者へメールで通知を行う場合は、先頭部分に "From: name@domain" を指定することで、ヘッダの From 行とエンベロープ From ("MAIL FROM:" コマンド のアドレス) を変更・指定できます。受信者へ通知の場合はエンベロープ From は変更できません。 "Subject:"、"From:" は、日本語でも指定できます。 なお、テンプレート編集後はサービスの再起動が必要です。 ■検出通知で使用できる変数 ${SERVICE_TYPE} サービスの種類 ("http" or "smtp" or "pop" or "ftp") ${DETECTION_NAME} ウィルス等の検出名 (W95/Klez. H@mm 等) ${VIRUS_INFO_URL} ウィルス情報への URL 例："http://www. f-secure. co. jp/vs?vn=W32/NetSky. D@mm" ${CLIENT_HOST} クライアントホスト名 ホスト名を表示する場合は、ウェブ管理画面で [DNS の逆引き] を有効にする必要があります。 ${CLIENT_ADDR} クライアント IP アドレス ${SERVER_HOST} サーバホスト名(Liuux ゲートウェイからの接続先サーバ) ${SERVER_ADDR} サーバ IP アドレス(Liuux ゲートウェイからの接続先サーバ) ${STATUS} 応答コード(アクセスログと同じ値になります) ${METHOD} 要求メソッド HTTP では HTTP の要求メソッド (GET, POST 等) です。FTP では送信時は PUT、受信時は GET です。他のサービスでは常に GET です。 ${URL} アクセスしたサイトの URL ${CONTENT_TYPE} Content-Type が示す項目 (例：text/html) ${CONTENT_LENGTH} 送受信したファイルのサイズ(バイト数) ${FILENAME} 検出したファイル名 ${QUARANTINE_FILE} 隔離保存ファイル名 ${TIME} アクセス時刻 (1970/01/01 を基点とした秒数) ${TIME_STR} アクセス時刻文字 (例：'Tue May 7 16:16:17 2002') 64 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド ${HEADER} ヘッダの内容 ${TEXT} テキストメッセージの内容 ${MAILFROM} SMTP の送信者アドレス ("MAIL FROM:"コマンドの引数アドレス) ${RCPTTO} SMTP の受信者アドレス ("RCPT TO:"コマンドの引数アドレス一覧(", "区切り)) ${MESSAGE_ID} SMTP のメールヘッダの Message-Id フィールドの値 ${ERROR_STR} エラーメッセージ(アクセスログの PROXY-ERROR と同じ内容) ${ACTION} 検出した際の動作(アクセスログと同じ内容) ${PATH_QUERY} URL のパスおよびクエリ部分 (HTTP サービスのみで有効) ${X_FORWARDED_FOR} X-Forwarded-For ヘッダフィールドの内容 (HTTP サービスのみで有効) 65 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド 7. 4 上級者向けオプション ■参考情報のご提供 本製品のご利用にあたって、マニュアルに記載されているウェブ管理画面の設定項目以外に、通常設 定が必要な項目はありません。しかしながら、特別な状況・要求に対応するため、上級者向けオプシ ョンも用意しています。上級者向けオプションの参考情報は、以下のファイルで提供いたします。 /home/virusgw/doc/expert-options-linuxgw. txt ■上級者向けオプションのご利用にあたって 上級者向けオプションは、今後のバージョンで仕様変更等を行う可能性が高いものもあり、また通常 は設定が必要なものはありません。環境に依存する可能性や、お客様の認識と動作が異なる可能性も ありますので、必ずお客様の環境で正常に動作することを確認の上ご利用ください。 なお、上級者向けオプションを利用する必要があり、実際に利用される場合は、弊社 サポートセン ターまでご連絡いただきますようお願いいたします。ご利用状況を把握し、必要性が高いものについ ては、ウェブ管理画面への追加等、公式オプションへの追加を検討いたします。 66 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド 8. コマンドラインでの操作 通常はコマンドラインでの操作は必要ありません。特にコマンドラインでの操作が必要な場合のみ、 この章を参照してください。 通常、プロキシ機能は、ウェブ管理画面のプロキシ設定で設定時、またはマシン起動時に /etc/rc. d/init. d/を通じて自動で起動します。これらの場合、まずプロキシ自動起動コマンド (rc. virusgw_{http, smtp, pop, ftp}) を起動します。 自動起動コマンドはプロキシ実行コマンド 本体 (virusgw) を起動します。 8. 1 自動起動コマンド ■動作概要 マシンのブート時等に、自動起動コマンド(initscript)により、プロキシ実行コマンド (virusgw)、ウ ェブ管理画面、ウィルス検査デーモン(fsavd) の起動・終了・再起動を行います。 ウィルス検査エンジンプロセスは、各プロキシサービスの起動前に実行する必要があります。 ■コマンド名 /home/virusgw/rc. virusgw_http /home/virusgw/rc. virusgw_smtp /home/virusgw/rc. virusgw_pop /home/virusgw/rc. virusgw_ftp /home/virusgw/rc. virusgw_fsavd /home/virusgw/rc. virusgw_admin ■オプション start stop restart status http プロキシ自動起動コマンド smtp プロキシ自動起動コマンド pop プロキシ自動起動コマンド ftp プロキシ自動起動コマンド ウィルス検査エンジンプロセス ウェブ管理画面 自動起動コマンド プロキシの開始 プロキシの終了 プロキシの再起動 プロキシの動作状況表示 ■コマンド例 http プロキシの再起動 # /home/virusgw/rc. virusgw_http restart http プロキシの自動起動を設定 # ln -s /home/virusgw/rc. virusgw_http /etc/init. d/virusgw_http # chkconfig --add virusgw_http # chkconfig virusgw_http on 67 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド 8. 2 プロキシ実行コマンド本体 ■動作概要 指定した設定ファイルやオプションに従い、プロキシを実行します。 通常、設定ファイルとして/home/virusgw/conf/virusgw. ini を指定します。 ■コマンド名 cd /home/virusgw; . /virusgw virusgw コマンドは、/home/virusgw/ディレクトリに移動してから起動してください。 ■オプション オプションを複数指定した場合は最後のオプションが優先となります。 --http --smtp --pop --ftp -f <inifile> http プロトコルを使用 (virusgw_http で起動時のデフォルト) smtp プロトコルを使用 (virusgw_smtp で起動時のデフォルト) pop プロトコルを使用 (virusgw_pop で起動時のデフォルト) ftp プロトコルを使用 (virusgw_ftp で起動時のデフォルト) inifile を設定ファイルとして設定を読み込みます。 通常は/home/virusgw/conf/virusgw. ini を指定します。 プロトコルはこのオプションより前に指定する必要があります。 バックグラウンドで起動 詳細表示をやめる 指定したポート番号で待ち受ける オプション一覧を表示 --daemon -q -P <port> -h ■コマンド例 HTTP プロキシの起動 (通常) # cd /home/virusgw; . /virusgw --daemon --http -f conf/virusgw. ini HTTP プロキシの起動 • フォアグラウンドで起動 # cd /home/virusgw; . /virusgw --http -f conf/virusgw. ini HTTP プロキシの起動 • フォアグラウンドで起動 • 詳細情報も表示 # cd /home/virusgw; . /virusgw -v --http -f conf/virusgw. ini HTTP プロキシの起動 • フォアグラウンドで起動 • 詳細情報も表示 • ポート 9080 で待ち受け # cd /home/virusgw; . /virusgw -v --http -f conf/virusgw. ini -P 9080 68 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド 8. 3 ウィルス定義ファイル更新コマンド ■動作概要 ウィルス定義ファイルを最新に更新します。 ウィルス定義ファイルはインターネット経由でダウンロードするため、 時間がかかることがあります。 プロキシ設定は、conf/dbupdate. conf で行います。 ウィルス定義ファイル更新動作 dbupdate コマンドは、AUA(Automatic Update Agent(自動更新エージェント), コマンド名:fsaua)を 通じて、http://fsbwserver. f-secure. com/からファイルを取得し、一度 update ディレクトリに保存し た後、databases ディレクトリにコピーします。 ウィルス定義ファイルのダウンロードが失敗する場合、本製品を導入したサーバから、以下の URL に接続してファイルがダウンロードできるかご確認ください。 http://fsbwserver. f-secure. com/ また、ログファイル(/home/virusgw/log/dbupdate. log, /home/virusgw/log/fsaua. log)の内容もご確認く ださい。 設定したプロキシ情報は/home/virusgw/conf/dbupdate. conf に以下の項目で保存します。 use_proxy=[yes|no] プロキシ利用の有無 http_proxy_host= プロキシサーバのホスト名 http_proxy_port= プロキシサーバのポート番号 http_proxyauth= プロキシ認証を利用の有無 http_proxyauth_user= プロキシ認証のユーザ名 http_proxyauth_pass= プロキシ認証のパスワード ポリシマネージャから定義ファイルをダウンロードする場合は、 /home/virusgw/conf/dbupdate. conf で UPDATEURL=http://ホスト名:ポート番号/ として指定します。 ・ウィルス定義ファイルのバージョンは”cd /home/virusgw; make show-dbversion”で確認いただけ ます。 ・各エンジン(Aquarius, Hydra(FS-Engine))の定義ファイルのバージョンは、 databases/aqualnxs32/aquarius-linux-update. ini、databases/fse/FS@hydra. ini の "[Version]. . . File_set_visible_version=YYYY-MM-DD_XX" を参照します。ウィルス定義ファイル全体のバージ ョンは、各エンジンのバージョンの中で最大のバージョンになります。 プロキシ設定は、conf/dbupdate. conf で行います。 ■コマンド名 /home/virusgw/dbupdate ■オプション --help --auto コマンドラインオプションのクイックヘルプを表示します。 ウィルス定義ファイルを同期的にはダウンロードせず、 F-Secure 自動更新エージェ ントが以前ダウンロードしたファイルを更新します。ウィルス定義ファイルの更新を 完全に自動化するためのオプションです。 fsdbupdate9. run 69 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド 定義ファイルの更新を、インターネットからダウンロードするのではなく、指定した 定義ファイル(fsdbupdate9. run) を用いて行います。( 定義ファイルのインポー トを行います。) ■設定ファイル /home/virusgw/conf/dbupdate. conf use_proxy=[yes|no] http_proxy_host= http_proxy_port= http_proxyauth= http_proxyauth_user= プロキシ利用の有無 プロキシサーバのホスト名 プロキシサーバのポート番号 プロキシ認証を利用の有無 プロキシ認証のユーザ名 http_proxyauth_pass=プロキシ認証のパスワード UPDATEURL=http://ホスト名:ポート番号/ ポリシマネージャから定義ファイルをダウンロードする場合の URL ■コマンド例 ウィルス定義ファイルを更新します。 # cd /home/virusgw; . /dbupdate 指定した定義ファイル(fsdbupdate9. run)からインポートします。 # cd /home/virusgw; . /dbupdate fsdbupdate9. run ■終了コード 更新結果は以下のコマンド終了コードで取得いただけます。 終了コード 0 1 2 説 明 新しい更新はありません。何も更新されていません。 定義ファイル更新に失敗しました。詳細については、プログラムの出力および /home/virusgw/log/ dbupdate. log, /home/virusgw/log/fsaua. log を参照してください。 ウィルス定義ファイルは正常に更新されました。 128 以上の数字はシグナルにより終了した場合です。例えば 143 の場合、143-128=15(SIGTERM) が シグナルです。 Linux のシグナル番号は、"man 7 signal" コマンド等で確認できます。 . ■ログファイル 更新結果は、以下のログファイルに記録されます。問題発生時はこちらを参照してください。 /home/virusgw/log/dbupdate. log /home/virusgw/log/fsaua. log 8. 4 全サービス再起動コマンド ■動作概要 全ての有効なサービス(http, smtp, pop, ftp, admin)を再起動します。 ウェブ管理画面での再起動と同様の動 作になります。 ■コマンド名 cd /home/virusgw; make restart 70 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド ■コマンド例 全ての有効なサービスを再起動します。 # cd /home/virusgw; make restart 8. 5 診断情報作成コマンド ■動作概要 診断情報ファイル (diag. tar. gz) を、/home/virusgw ディレクトリに作成します。診断情報フ ァイルには本製品の設定情報・マシンの設定情報・各種ログ情報が含まれます。これらの情報は、問 題解析のために必要です。 サポートセンターへお問い合わせの際は、なるべくこの診断情報ファイル (diag. tar. gz) をお送 りいただきますようお願いします。 ■コマンド名 cd /home/virusgw; make diag ■コマンド例 診断情報ファイルを作成します。 # cd /home/virusgw; make diag 71 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド 9. ログ 本製品では、アクセス状況の把握、ウィルス検出状況、エラー発生状況等の情報をログファイルとし て残します。ログファイルは、/home/virusgw/log/の各サービスごとのディレクトリに保存され ます。必要に応じて参照してください。 9. 1 ログファイル 9. 1. 1 アクセスログ（access. log） 本製品を通じてサーバへの接続を行った記録を全て保存します。 ログのフォーマットは以下のとおりです。 Squidのログフォーマットと互換ですので、各種ログ解析ツールが利用できます。webalizerでの設定 例については「9. 4 アクセス解析ツールの設定（webalizer等）」を参照してください。 ■ログフォーマット 接続状況が 1 行ずつ記録されます。以下の各項目がスペースで区切られています。 • 時刻 クライアントから接続された時刻です。 エポックタイム (1970/01/01 00:00:00(UTC)) からの秒数を ミリ秒単位で表示します。 • 接続時間 クライアントとの接続時間をミリ秒単位で表示します。 • クライアントホスト クライアントのホストが表示されます。逆引きが可能な場合はホスト名が表示され、それ以外は IP アドレスが表示されます。 • 処理結果 [キャッシュ状況]／[HTTP 状態コード] を返します。 キャッシュ状況は利用しません。常に TCP_MISS です。 HTTP 状態コードは、 クライアントに送信する HTTP レスポンスの状態コード (3 桁の数字) です。 HTTP 以外では成功時は 200、エラー時は 500、それ以外(データ中継を行わずに接続直後に切断し た場合など)は 000 を返します。 • ファイルサイズ 転送したファイルのサイズです。 • 要求メソッド HTTP では HTTP の要求メソッド (GET, POST 等) です。FTP のデータ送信時は PUT です。それ 以外では常に GET です。 • URL 接続先の URL です。 pop の場合は、"pop://POP ユーザ名@POP サーバ名:ポート番号" になります。 smtp の場合は "mail:送信先" になります。 72 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド • ユーザ名 プロキシ認証を行った場合のユーザ名が記録されます。 認証を行っていない場合は "-" です。 • hierarchy code "[Hierarchy 文字列]/接続先 IP アドレス" を返します。 [Hierarchy 文字列] は利用しません。常に "DIRECT" です。 • Content-Type 送受信するファイルの Content-Type を表示します。利用できない場合は "-" となります。 • 検出情報 "DETECT-STAT:[検査結果]:[ウィルス名]:[ファイル名]:[隔離保存ファイル名]::" を返します。 検査結果 ウィルス名 ファイル名 隔離保存ファイル名 INFECTED(ウィルス検出)、SPAM(スパム検出)、CLEAN(ウィルス検出なし) のい ずれか ウィルス名称 送受信ファイルにつけられた名前 隔離保存したファイル名 感染ファイルの隔離を有効にした場合のみ設定されます。 • 動作 "ACTION:[動作]:"を返します。 動作 検査結果に応じた以下の動作のいずれかを返します。 ・ NONE ・ PASS ・ DELETE ・ DENY ・ SENDBACK ・ BLACKHOLE 何もしない(検出しなかった) 検出したが通過させた(ログには記録) 削除した(SMTP の場合、削除後受信者へ通知) SMTP で検出して拒否した SMTP で送信者へ通知した SMTP で削除した(送受信者への通知なし) ・ CHANGE_SUBJECT SMTP でスパム検出により件名を変更した • プロキシ情報 "PROXY-STAT:[サービスの種類]:[内部プロセス ID]: [プロセス ID]: [接続元 IP アドレス]: [処理フ ァイル数] :[検査回数]: [検査時間]:[検査情報詳細]:" を返します。 サービスの種類 内部プロセス ID サービスの種類 (http, smtp, pop, ftp) 処理を行った内部プロセス ID (０からはじまる識別子) 基本的には小さい数字から使われます。 [内部プロセス ID]+1)が該当アクセスの接続開始時点での同時接続数になります。 プロセス ID 接続元 IP アドレス 処理ファイル数 検査回数 検査時間 検査情報詳細 処理を行ったプロセス ID 接続元の IP アドレス 同一セッション内で処理した要求の数。1 から始まり、同一セッション内でアクセ スログに出力する度に１づつ増えます。POP では常に 1 です。 1 回の接続の中でウィルス検査を行った回数 (ただし、最後にアクセスログで出力してからの回数) 1 回の接続の中でウィルス検査エンジンによりウィルス検査を行った時間 (ミリ秒) (ただし、最後にアクセスログで出力してからの時間) 検査状況を表す以下の文字列をコンマ区切りで表示します。 ・ VSD_ENCRYPTED 暗号化ファイル ・ VSD_MAXNESTED 最大検査階層に到達した 73 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド ・ VSD_SCANTIMEOUT 検査時間が最大検査時間を越えた ・ OVER_FILESIZE ・ PASS_TO ・ PASS_EXT 検査除外対象で指定したファイルサイズを超えた 検査除外対象のホスト名に一致した 検査除外対象のファイル名・拡張子に一致した (HTTP, FTP のみ) ・ PASS_USER_AGENT 検査除外対象の User-Agent に一致した • プロトコル情報 各プロトコル独自の情報を記録します。現在 HTTP/SMTP サービスのみで有効です。 SMTP サービスの場合： "PROTOCOL-STAT:[送信元アドレス]:[Message-ID]:" を返します。 送信元アドレス SMTP の送信者アドレス ("MAIL FROM:" コマンドの引数アドレス) (URL エンコードを行い表示します。) Message-ID メールヘッダの Message-Id フィールド (URL エンコードを行い表示します。) HTTP サービスの場合： "PROTOCOL-STAT:[プロトコル情報詳細]:[X-Forwarded-For]:" を返します。 KEEPALIVE 有無 検査状況を表す以下の文字列をコンマ区切りで表示します。 ・ KEEPALIVE: 該当セッションで Keep-Alive（Persistent-Connection)接続 を行った。。 ・ PROGRESS* ・ TRICKLE: 該当セッションでダウンロード状況表示ダイアログを表 該当セッションで trickle によりダウンロード完了前に転 示した。(上級者向けオプションで"progress"の設定を行った場合) 送を開始した。(上級者向けオプションで"trickle"の設定を行った場合) X-Forwarded-For 要求ヘッダの X-Forwarded-For フィールドの値 (URL エンコードを行い表示します。) • エラー情報 プロキシ処理により発生したエラーメッセージを表示します。 "PROXY-ERROR:[エラーメッセージ]:" を返します。 エラーメッセージ 以下のエラーメッセージが表示されます (URL エンコードを行い表示します。) 各プロトコル共通 ・CONNECT(ホスト名:ポート番号/接続エラーメッセージ 「11. 12 接続エラーメッセージ一覧」のエラーメッセージ HTTP の場合 「11. 6 HTTPエラー応答一覧」のエラーメッセージ SMTP の場合: ・ SERVER/ERROR Reply(MAIL): buf=[XXX] SMTP サーバへ"MAIL FROM"コマンドを送信した際のエラー応答 ・ SERVER/ERROR Reply(RCPT): buf=[XXX] SMTP サーバへ"RCPT TO"コマンドを送信した際のエラー応答 ・ SERVER/ERROR Reply(AUTH): buf=[XXX] 74 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド SMTP サーバへ"AUTH"コマンドを送信した際のエラー応答 ・ PROXY/550 Relaying denied. Linux ゲートウェイが中継を拒否した。受信先ドメインの制限や認証に より拒否された場合に表示されます。 (クライアントからの中継を許可する場合、 該当クライアントアドレスを LAN 内からのホストに設定するか、PbS/SMTP 認証を有効にします。外 部からの中継を許可する場合、受信先ドメインを設定します。) 9. 1. 2 ウィルス・スパム検出ログ（detect. log） ウィルス・スパムの送受信を検出した場合に記録します。 ログ形式については「9. 1. 1 アクセスログ（access. log）」と同じです。 75 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド 9. 1. 3 エラーログ（error. log） エラー発生時に記録されます。本製品の動作に問題がある場合等に参照してください。 エラーメッセージの形式は以下のとおりです。なお、メッセージの形式・文面等は適時変更する可能 性があります。 ■エラーメッセージの形式 時刻(秒数) [日付 時刻 ポート 内部プロセス ID クライアント IP アドレス:クライアントホスト 名:クライアントポート番号 サーバ IP アドレス:サーバホスト名:サーバポート番号] エラーメッ セージ 日時はエラー発生時の時刻です。最初の時刻はエポックタイム (1970/01/01 00:00:00(UTC)) からの秒 数をミリ秒単位で表示します。 また、OS のシステムコールに関係するエラーが発生した場合、エラーメッセージの最後に以下の記 述を追加します。 /strerror(エラーコード)=エラーメッセージ エラーコード: システムコールのエラーコード エラーメッセージ: システムコールのエラーメッセージ ■エラーメッセージの内容 メッセージ ###ERROR### bind(port=ポート番号, addr=アドレス). # Please check whether other service(mail/web server, etc. . . ) is already running on port ポート番号. " /strerror(98)=Address already in use 説明 設定したポート、 アドレスで接続待ち受けを行えず、 サービスを起動できません。 本製品は、 Linux の bind()システムコールにより指定したポート番号で待ち受け準備を行いますが、 既にポート番 号が利用されており bind()に失敗した場合に表示されます。 対処法 同じポートを利用している他のサービスをご確認ください。不要なサービスの場合は停止させて ください。必要なサービスの場合、他のサービスと本製品の待ち受けポート・アドレスを別に設 定してください。 各ポート・アドレスで待ち受けを行っているプロセスは、"netstat -anp" (診断情報では "system/netstat_anp. txt") で確認できます。 76 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド メッセージ ###ERROR### Maximum connections: warning: Client connections reached maximum connections(最大接続数). If there is many warnings, please increase 'Maximum Connections' settings(pre_spawn value of virusgw. ini) of this service. (暫定値 will be good value as start line). 説明 クライアントの同時接続数が、 設定した "最大同時接続数" に達した場合に記録されます。 最大接 続数を超えた接続要求は、同時接続数が減少し、空きが出るまでプロキシ処理を行いません。 なお、 最大接続数を超えた場合の、 バックログ (Linux の listen()システムコールのバックログ) は 5 に設定されています。したがって、通常、最大接続数を超えて 6 接続要求までは TCP 接続要 求を受け付けて接続状態が "ESTABLISHD" になりますが、それ以上については TCP 接続要求に 応答しないため接続状態は "SYN_RECV" になります。TCP 接続要求を Linux が受け付けた場合 でも、最大同時接続数を超えた接続についてプロキシ処理は行いません。 利用した同時接続数はアクセスログで「PROXY-STAT:[サービスの種類]:[内部プロセス ID]:. . 」と して記録される[内部プロセス ID]で確認いただけます。内部プロセス ID は 0 からはじまる識別子 で、小さい数字から順次使われるため、([内部プロセス ID]+1)が該当アクセスの接続開始時点での 同時接続数になります。 また、現在利用中の接続数については、以下のように netstat コマンドで該当ポート番号が ESTABLISH 状態の数で確認いただけます。 # netstat -anp | grep :9080 | grep ESTABLISHED | wc -l (ポート番号 9080 の場合) 対処法 • メッセージの表示頻度が少なく (1 時間に 1 回程度エラーが記録される場合)、動作上の問題が ない場合、一時的な接続数の増加と考えられます。 この場合、特に設定変更の必要はありません。 • 最大検査時間はデフォルトで 90 秒ですが、無効(0)にするか大きくした場合、特定のファイル の検査に時間がかかり、検査プロセス(fsavd)の処理に長時間待ちが発生してプロキシ処理が行 えずに最大接続数に達する可能性があります。 この場合、最大検査時間はデフォルト(90 秒)に戻していただきますようお願いいたします。 • 本製品とサーバ間または本製品とクライアント間でネットワーク障害が発生している場合、プ ロキシ処理が行えずに最大接続数に達する可能性があります。 この場合、ネットワーク障害を解決してください。 • 多数のエラーが記録され、最大検査時間設定に変更がなく、ネットワーク障害がないにもかか わらず、全てのサーバへの接続ができずにタイムアウトする場合、必要な同時接続数が設定し た最大同時接続数を超えている可能性がございます。 この場合、最大同時接続数を必要な数以上に設定する必要があります。 必要なクライアントの最大同時接続数が不明な場合は、以下の暫定値程度に設定して様子を見 ていただけます。その後、必要に応じて変更してください。通常、最大同時接続数は 2000 以 内に設定します。 －HTTP 200 －SMTP 50 －POP 50 －FTP 10 最大同時接続数設定を増やすと、同時に接続できる数が増えますが、同時接続数が増えた場 合にはメモリを消費します。メモリ消費量は 1 接続あたり約 500KB 程度です。 77 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド メッセージ ###ERROR### notify_admin:gethostbyname error:admin_mx_host=[ホスト名] hstrerror=[エラー原因詳細] 説明 ウィルス・スパム検出時に管理者への通知を行うため、管理者への通知設定の SMTP サーバ (/home/virusgw/conf/virusgw. ini の admin_mx_host) の名前引きを行いましたが、失敗 しました。 対処法 管理者への通知設定で設定した、SMTP サーバのホスト名が名前引きできるかご確認ください。 メッセージ ###ERROR### notify_admin:cannot connect to admin mail server[ホスト名:ポー ト番号] / strerror(xxx)=xxx 説明 ウィルス・スパム検出時に管理者への通知を行うため、管理者への通知設定の SMTP サーバ (/home/virusgw/conf/virusgw. ini の admin_mx_host, admin_mx_port) へ接続しまし たが失敗しました。 対処法 管理者への通知設定で設定した SMTP サーバのホスト名・ポート番号に接続できるかご確認くだ さい。 メッセージ ###ERROR### notify_admin:smtp error:[送信コマンド名]: buf=[応答行] /strerror(xxx)=xxx 説明 ウィルス・スパム検出時に管理者への通知を行うための SMTP 接続中の応答メッセージでエラー が返りました。 "送信コマンド" 名は SMTP 接続の状態をあらわし、"HELO/MAIL FROM/RCPT TO/DATA/QUIT"(各コマンド送信時)、 "GREETING"(接続開始時)、 "DATA END"(データ送信終了時) のいずれかです。 対処法 [応答行] を確認し、管理者への通知設定で設定した SMTP サーバにメールを送信できるかご確認 ください。 78 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド メッセージ ###ERROR### semget failure. Childnum(pre_spawn=[最大同時接続数]) may be large. If needed, maximum semaphore number(SEMMNI) can increase by adding like 'kernel. sem=250 128000 32 512' on '/etc/sysctl. conf' and running 'sysctl -p'. /strerror(28)=No space left on device 説明 セマフォの確保に失敗し、サービスを起動できませんでした。 対処法 サービスプロセス(virusgw_xxx)を、"kill -KILL"コマンドなどにより強制終了したさせた場合、セ マフォが開放されずに残るためエラーが発生することがあります。この場合、サーバ(OS)を再起 動することで復旧を行います。なお、現在の利用中のセマフォについては、"/proc/sysvipc/sem"で 確認することも可能です。 また、最大同時接続数が多い場合、必要なセマフォ数が増えるために、このエラーが発生するこ とがあります。 特に必要がない場合、 最大同時接続数を 2000 以内に設定してください。 通常、 2000 以上設定する必要はありません。 なお、本製品ではプロセス数に応じたセマフォ数が必要になります。同時接続数を多く設定する 必要がある場合や他のプロセスがセマフォを多く利用している場合などは、以下の方法により OS 側で利用できるセマフォ数を増やすことができます。 1 以下の行を/etc/sysctl. conf に追加する。 kernel. sem=250 128000 32 512 2 以下のコマンドを実行する。 # sysctl -p 3 以下のコマンドでセマフォ数が設定できたことを確認する。 # cat /proc/sys/kernel/sem 250 128000 32 512 メッセージ ###ERROR### sendfile timeout: No data can send while 120 sec. There maybe temporary network trouble between receiver. ) / URL=[. . . ] . . . 説明 120 秒間データを送信できず、セッションを切断した場合に記録します。 対処法 ネットワーク環境に問題がないかご確認ください。 メッセージ ###ERROR### get_response_header: Too Large Header 説明 79 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド HTTP の応答ヘッダが長い (10KB 以上の) 場合に表示されます。サービスの動作には問題ありま せん。 対処法 特定の URL、ブラウザで発生する問題かご確認ください。 80 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド メッセージ ###ERROR### main:diskspace_check: not enough diskspace in temporary directory [ディレクトリ名]. 説明 一時ディレクトリに空き容量が 5MB 以上ない場合に表示されます。サービスは開始しません。 対処法 空き容量を確保してください。 メッセージ ###ERROR### realtimescan_check : cannot open [%s]. Please stop realtime virus scan, or exclude scanning for temporary directory [ディレクトリ名]. 説明 本製品以外の何らかのウィルス検査ソフトが導入されており、一時ディレクトリに対してリアル タイムウィルス検査が有効になっている場合に表示されます。サービスは開始しません。 対処法 リアルタイムウィルス検査機能を無効にするか、一時ディレクトリに対してリアルタイムウィル ス検査を除外してください。 メッセージ ###ERROR### smtp_data_cmd_senddata:[検出時の動作]:smtp error:[送信コマンド 名]: buf=[応答行] /strerror(xxx)=xxx 説明 ウィルス・スパム検出時に、送受信者への通知を行うための SMTP コマンドの応答メッセージで エラーが返りました。 [検出時の動作] は、"DENY"(拒否)、"DELETE"(削除後送信者または受信者へ通知)、 "SENDBACK"(削除後送信者へ通知)、"BLACKHOLE"(削除) です。 [送信コマンド] 名は SMTP 接続の状態をあらわし、 "RSET/MAIL FROM/RCPT TO/DATA/QUIT"(各 コマンド送信時)、"DATA END"(データ送信終了時) のいずれかです。 対処法 [応答行] を確認し、転送先 SMTP サーバにメールを送信できるかご確認ください。 メッセージ ###ERROR### smtp_data_cmd_itr:AUTH buf=[応答行] /strerror(xxx)=xxx 説明 SMTP サーバとの SMTP 認証中に通常の応答コード (334, 5xx, 235) 以外が返った場合に表示され ます。[応答行] が SMTP サーバの応答メッセージです。 対処法 SMTP サーバの応答メッセージが正しいかご確認ください。 特に問題ないと考えられる場合、 診断 情報と認証中のパケットキャプチャ (tcpdump) の結果を送付してください。 81 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド メッセージ ###ERROR### ftp_noop_callback:NOOP command reply error [応答行] /strerror(xxx)=xxx 説明 FTP サーバへの NOOP コマンド送信時に 200 以外の応答が返った場合に表示されます。 対処法 FTP サーバが接続を切断していないか、また FTP サーバが NOOP コマンドに正しく応答している か確認ください。 対処法 SMTP サーバの応答メッセージが正しいかご確認ください。 特に問題ないと考えられる場合、 診断 情報と認証中のパケットキャプチャ (tcpdump) の結果を送付してください。 メッセージ ###ERROR### XXXX /strerror(23)=Too many open files in system 説明 XXX には"open"等のファイルを開くことに関するメッセージが表示されます。 システム全体で開いているファイルの数が制限を越えた場合に発生します。 ファイルハンドルの数は /proc/sys/fs/file-nr で以下のように確認できます。 (表示コマンド) cat /proc/sys/fs/file-nr [割り当て済みファイルハンドル数] [使用中のファイルハンドル数] [ファイルハン ドルの最大数] (例: # cat /proc/sys/fs/file-nr 1864 504 52403) 対処法 "lsof"コマンド等で、ファイルハンドルを異常に多く消費しているプロセスなどがないかご確認く ださい。 正常な状態で、使用中のファイルハンドル数がファイルハンドルの最大数に近くなっている場合、 以下のように"/proc/sys/fs/file-max"を変更してシステムのファイルハンドル数を増やしてください。 1. sysctl. conf に以下のような行を追加(最大値を 65535 に設定する場合) fs. file-max = 65535 2. 以下のコマンドで設定を反映 sysctl -p メッセージ ###ERROR### XXX cannot open [/var/tmp/virusgw/proxytmp-xxx]/strerror(2)=No such file or directory 説明 本製品が利用している一時ファイルが開けない場合に表示されます。 対処法 一時ディレクトリのファイルを、コマンドや他のプログラムで削除していないか ご確認ください。 82 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド メッセージ ###ERROR### Cannot find tproxy(version2) interface. 説明 TPROXY 利用設定(ソース IP 保持, transparent_tproxy=yes")を行っているが、 tproxy パッチが動作していない場合に表示されます。 対処法 tproxy パッチが kernel に適用されていない可能性があります。 ファイル/proc/net/tproxy が存在するかご確認ください。 Turbolinux 10 Server の場合は、以下の点をご確認ください。 - kernel-2. 6. 8-5 以降をご利用していること "uname -a"コマンドの結果で、カーネルバージョンが 2. 6. 8-5 以降に なっていることをご確認ください。 カーネルバージョンが古い場合、Turbolinux10 の kernel を最新に アップデートしてください。 - iptable_tproxy モジュールが組み込まれていること。 "lsmod"コマンドの結果に、"iptable_tproxy"モジュールが含まれているか ご確認ください。 含まれていない場合、以下の手順でモジュールの組み込みを行ってください。 1. /etc/sysconfig/iptables-config で、IPTABLES_MODULES の設定行を 以下のように記述し、iptables が iptable_tproxy を読み込むように設定 IPTABLES_MODULES="iptable_tproxy" 2. iptables を再起動 # /etc/rc. d/init. d/iptables restart 3. /proc/net/tproxy が存在することを確認 4. [. . . ] <----------------------------PASV -----------------------------> PASS password -----------------------------> 230 User logged in. <----------------------------- PASV -----------------------------> 227 Entering Passive Mode (0, 0, 0, 2, 0, 2) <----------------------------227 Entering Passive Mode (0, 0, 0, 1, 0, 1) <----------------------------RETR /file -----------------------------> RETR /file -----------------------------> TCP connect(To: 0. 0. 0. 1:1) =====================> TCP connect(To: 0. 0. 0. 2:2) =====================> 150 Opening data connection. <----------------------------150 Opening data connection. <----------------------------(以下プロキシ型と同様) 145 F-Secure アンチウィルス Linux ゲートウェイ／管理者用ガイド ■透過型(ルータまたはブリッジ)、アクティブ FTP の場合 クライアント(0. 0. 0. 3) Linux ゲートウェイ(linuxgw, 0. 0. 0. 1) FTP サーバ(ftpserver, 0. 0. 0. 2) TCP connect(to: 0. 0. 0. 2:21) -----------------------------> TCP connect(to: 0. 0. 0. 2:21) -----------------------------> 220 ftpserver <----------------------------220 ftpserver <----------------------------USER user -----------------------------> 331 Password required <----------------------------PASS password -----------------------------> USER user -----------------------------> 331 Password required <----------------------------- 230 User logged in. [. . . ]