syslogでは、外部のサーバからネットワーク越しにログを受け取るために、syslogd起動時にデフォルトで514/udpをオープンする。しかし、その514/udpでは、特にアクセス制限が行われていないため、外部の攻撃者が514/udpに対して大量のパケットを送り込むことで、 syslogサービスの異常停止(DoS)を狙った攻撃が可能となる。
これを回避するときには、syslogdをいったん停止し、以下を実行する。
# /usr/sbin/syslogd -t
次回起動時も有効にする場合は、/etc/rc2.d/S74syslog(実体は/etc/init.d/syslog) の以下の1行を変更する。
変更前:
/usr/sbin/syslogd >/dev/msglog 2>&1 &
変更後:
/usr/sbin/syslogd -t >/dev/msglog 2>&1 &
