유닉스/리눅스 보안 로그 설정과 관리

유닉스리눅스 보안 로그 설정과 관리

로그 디렉터리

윈도우즈 시스템 구성요소가 기록하는 이벤트로 시스템 부팅 시 드라이버가 로드되지 않는 경우와 같이 구성요소의 오류를 이벤트에 기록

유닉스에는 로그를 중앙 집중적으로 관리하는 syslogd 데몬이 있지만, 각 데몬이 로그를 별도로 남기는 경우도 많음. 유닉스에서는 로그가 다양한 경로로 남기 때문에 모두 파악하고 관리하기 어렵지만, 다양한 로그를 바탕으로 해커를 추적하는 것은 가능함

유닉스에서는 로그가 저장되는 경로가 시스템마다 조금씩 다름. 두 개 이상의 경로에 로그를 나누어 저장하기도 함

이벤트 로그 종류

시스템 로그

윈도우즈 시스템 구성요소가 기록하는 이벤트로 시스템 부팅 시 드라이버가 로드되지 않는 경우와 같이 구성요소의 오류를 이벤트에 기록

• syslog, klog : 유닉스 시스템에 대한 로그 설정 및 로그 디렉터리, 로그 보기 방법
• 윈도우즈 이벤트 로그 : 윈도우즈에서는 시스템, 애플리케이션, 보안 로그가 기본적으로 설정되어 남게 되는데 보안 로그는 디폴트로 설정이 되어있지 않기 때문에 설정이 필요함

응용 프로그램 로그

응용 프로그램이 기록한 다양한 이벤트가 저장되며 기록되는 이벤트는 소프트웨어 개발자에 의해 결정됨

• 데이터베이스 로그 : My SQL, MS SQL, Oracle 로그 설정 및 관리
• 웹서버 로그 : IIS, Apache 로그 설정 및 관리
• 메일 서버 : Sendmail, SMTP 메일서버 관리
• 접근통제 로그 : TCP Wrapper 로그

유닉스/리눅스 시스템 로그 설정

syslog 표준 인터페이스(API)에 의해 로그를 생성하고 관리

facility 종류와 의미

* : 모든 서비스를 의미

auth : login과 su처럼 사용자 권한을 사용하거나 변경

authpriv : 선택된 사용자만 읽을 수 있는 파일에 로그를 남기는 것을 제외하면 auth와 같음

console : 콘솔(시스템 상태를 보여주는 명령 창)에 일반적으로 나타나는 메시지

cron : 시스템 스케줄러에서 보내는 메시지

daemon : 별도의 핸들러가 없는 모든 시스템 데몬의 로그

ftp : FTP 데몬의 전송을 로그로 남기도록 설정할 수 있음

kern : 커널 메시지

lpr : 프린터 시스템에서 오는 메시지

mail : 메일 시스템에서 오는 메시지

mark : 로그에 20분마다 단순히 통보하는 메시지로 실제 로그가 아님

news : 인터넷 뉴스 데몬에서 보내는 메시지

ntp : Network Time Protocol이 보내는 메시지

security : 각종 보안 시스템이 보내는 메시지

syslog : 로그 서비스 자체적으로 로그를 남길 수 있음. 로그 시스템에서 보내는 로그는 혼란을 피하려고 남기지 않도록 함

user : 사용자 프로그램에 대한 로깅

uucp : UNIX to UINX Copy Protocol이 보내는 로그

local0~7 : local0에서 local7 관리자가 사용할 수 있도록 예약된 것

priority의 종류와 의미

Emergency(emerg)

• 시스템이 비정상적인 상태, 모든 터미널에서 메시지가 깜박임
• 시스템이 멈췄거나 아주 불안정한 패닉 상태(panic condition)
• 전체 공지가 필요한 상황

Alert(alert)

• emerg 레벨보다는 안정되나 아주 좋지 않은 상태
• 시스템을 계속 가동할 수는 있지만 즉각 조치해야 함(시스템 데이터베이스 오류 등)

Critical(crit)

• 하드웨어나 심각한 소프트웨어 문제 같은 치명적인 오류
• 하드 드라이브에 bad블록이 생겼을 때 발생, 역시 조치가 필요함

Error(err)

• 일반적인 에러/오류가 발생한 상황
• 시스템 일부 기능에 문제가 생겼지만 시스템 운영 자체에 큰 영향을 미치지 않음

Warning(warning)

• 경고 메시지
• 시스템 운영에 문제를 일으킬 수 있는 가능성이 있는 상황

Notice(notice)

• 에러/오류는 아니지만 관리자의 조치가 필요한 상황
• 일반적인 시스템 정보 또는 작업이 정상적으로 수행되기 위해 필요한 상태

Information(info)

• 일반적인 시스템 정보
• 의미 있는 정보 관련 메시지

Debug(debug)

• 보통 프로그래머만 사용
• 종종 어떤 프로그램이 동작하는 원리에 대해 알려고 하는 시스템 관리자가 사용
• 디버깅 로그는 프로그래머가 코드를 디버깅하는 데 필요하다고 생각하는 어떤 것이든 남길 수 있으나 여기에는 해당 시스템 사용자의 프라이버시를 침해할 만한 정보가 있을 수 있음

시스템 로그 설정 구문

*.err /dev/console : 모든 facility에서 발생한 err 메시지는 /dev/console에 출력

*.err; daemon, auth.notice; mail.crit /var/adm/messages : 모든 facility에서 발생한 err 메시지, daemon과 auth facility에서 발생한 notice 메시지, mail facility에서 발생한 crit 메시지는 /var/adm/messages 파일에 저장

lpc.debug /var/adm/lpd-errs : lpc facility에서 발생한 debug 메시지는 /var/adm/lpd-errs 파일에 저장

mail.debug /var/spool/mqueue/syslog : mail facility에서 발생한 debug 메시지는 /var/spool/mqueue/syslog 파일에 저장

*.alert root : 모든 facility에서 발생한 alert 메시지는 root 사용자에게 메일로 전송

*.emerg root, sysadmins, operators : 모든 facility에서 발생한 emerg 메시지는 root, sysadmins, operators 사용자에게 메일로 전송

auth.info,*.warn @hamlet : auth facility에서 발생한 info 메시지와 모든 facility에서 발생한 warn 메시지는 hamlet 호스트에게 로그 전송

*.debug /dev/tty01 : 모든 facility에서 발생한 debug 메시지는 /dev/tty01에 출력

유닉스/리눅스 시스템 로그 정리

utmp : 현재 로그인한 사용자 정보를 담고 있는 DB 파일. who, w, whodo, users, finger 등의 명령어

wtmp : 사용자 로그인, 로그아웃 정보 및 시스템의 shutdown, booting 정보를 가진 파일. last 명령어로 정보 확인

sulog : su 명령어를 사용한 경우, 변경 전 사용자 계정과 변경 후 사용자 계정 및 시간 정보가 저장되는 파일. vi 에디터 활용

acct/pacct : 사용자가 로그인한 후부터 로그아웃할 때까지 입력한 명령과 시간, 작동된 tty 등에 대한 정보를 수집. lastcomm, acctcom 명령어를 이용하여 분석

history : 사용자별로 실행한 명령을 기록하는 로그. vi 편집기, history 명령어로 로그분석

btmp(Linux) : 로그인 실패했을 경우에 실패 정보 기록. lastb 명령어

loginlog(Unix) : 로그인 5회 이상 실패했을 경우에 실패 정보 기록

lastlog : 각 사용자의 최근 로그인 시각(마지막 로그인 시각)과 접근한 소스 호스트에 대한 정보를 가진 파일. lastlog, finger 명령어로 분석

xferlog : FTP 서버에서 파일 전송 로그 기록

dmesg : 리눅스가 부팅될 때 출력되는 모든 메시지를 기록. 부팅 시의 에러나 조치사항을 살펴보려면 이 파일을 참조

cron : 시스템의 정기적인 작업에 대한 로그. 시스템 cron 작업에 대하여 기록하고 있는 파일

messages : 시스템의 가장 기본적인 시스템 로그 파일로서 시스템 운영에 대한 전반적인 메시지를 저장. 주로 시스템 데몬들의 실행상황과 내역, 사용자들의 접속정보, TCPWrapper 접근 제어 정보 등을 저장

secure : 주로 사용자의 원격 접속 즉, 원격 로그인 정보를 기록하고 있는 로그 파일로 서버 보안에 아주 민감하고 중요한 파일. 특히 tcp_wrapper(xinetd)의 접속제어에 관한 로그 파일은 언제, 누가, 어디에서, 어떻게 접속했는가에 대한 로그를 기록