サマリー
| サーバー | 対応内容 | 結果 |
|---|---|---|
| DirectAdmin機 | logwatch HostLimit設定追加 | 設定反映確認済み・翌日の実測待ち |
| cPanel機A | iptables logwatch圧縮 | 4,424行 → 187行(96%削減) |
| cPanel機A | スパムフィルタ動作確認 | 正常・対応不要 |
| cPanel機B | logwatch未処理(未利用のためスキップ) | — |
1. logwatch肥大化の調査と対処
背景
共有ホスティング環境では複数サーバーのlogwatchメールを毎日確認している。他サーバーが約6,000行程度なのに対し、DirectAdminサーバーのみ20,000行を超えていた。また、cPanelサーバーの1台はiptablesセクションだけで全体の80%を占めるという状況だった。
対処1:DirectAdmin機 — HostLimit設定
原因:SSH認証失敗ログが無制限でホスト別に列挙されていた。Detail = Low は設定済みだったが、HostLimit が未設定のためSSH攻撃元IPが全件表示されていた。
対処:/etc/logwatch/conf/logwatch.conf に1行追記。
HostLimit = 20
確認:logwatch実行後のヘッダーに Hosts limited to: 20 が表示され、設定反映を確認。実際の行数削減効果は翌日のメールで確認予定。
対処2:cPanel機A — iptables集約設定
原因:外部からのポートスキャン・ブルートフォースが大量に発生しており(1日12,424パケット記録)、全アタック元IPが個別にリストアップされていた。
対処:/etc/logwatch/conf/services/iptables.conf を新規作成。
$iptables_host_min_count = 10
Detail = 0
結果:4,424行 → 187行(96%削減)
重要な知見
logwatchの HostLimit パラメータはiptablesスクリプトでは機能しない。iptables専用の集約設定には $iptables_host_min_count を使う必要がある。また設定ファイル名はスクリプト名と一致させる必要があり、iptables.conf が正解(iptables-firewall.conf は不一致で効かない)。
2. スパムフィルタ動作確認
背景
logwatchのSpamAssassinセクションで特定アカウントへのスパム107件が報告されていた。「logwatchが107件と言っている」=「107件が受信箱に届いた」ではないため、実際の到達数を確認した。
確認結果
| 項目 | 内容 |
|---|---|
| スパムタグ付き配送数 | 全配送467件中439件(94%) |
/dev/null 破棄数 | 107件(2アドレス合計) |
| 受信箱への実到達数 | 正規メール4件のみ |
| SpamAssassinスコア範囲 | 7.8〜41.2 |
フィルタは正常に機能しており、実害なし。
3. その他の確認事項(cPanel機A)
- パッケージ更新:セキュリティ関連パッケージ(マルウェアスキャナ等)が自動更新済み
- ディスク使用率:40%(394GB中149GB使用)、余裕あり
- Dovecot:配送4,823件、IMAP/POP3ログイン5,780件、正常動作
- SSH攻撃:複数IPからのブルートフォースを検出・CSFが対処済み
今後の展開
今回の設定(HostLimit / $iptables_host_min_count)は他の共有ホスティングサーバーにも横展開できる。全サーバーに適用することでlogwatch全体の肥大化を抑制できる見込み。
本レポートはIP・ホスト名・ドメイン名・顧客情報を匿名化しています。
