차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

--- 로그_관리 [2022/01/07 01:47] – 만듦 fatp11th
+++ 로그_관리 [2022/01/18 01:12] (현재) – [정책에 따른 시스템 로깅 설정] fatp11th
@@ 줄 1: / 줄 1: @@
 ====로그의 정기적 검토 및 보고====
 점검목적
 정기적인 로그 점검을 통해 안정적인 시스템 상태 유지 및 외부 공격 여부를 파악하기 위함
 보안위협
 로그의 검토 및 보고 절차가 없는 경우 외부 침입 시도에 대한 식별이 누락될 수 있고, 침입 시도가 의심되는 사례 발견 시 관련 자료를 분석하여 해당 장비에 대한 접근을 차단하는 등의 추가 조치가 어려움
 점검방법
 정기적인 로그 분석을 위하여 아래와 같은 절차 수립
 Step 1) 정기적인 로그 검토 및 분석 주기 수립
 . utmp, wtmp ,btmp 등의 로그를 확인하여 마지막 로그인 시간, 접속 IP, 실패한 이력 등을 확인하여 계정 탈취 공격 및 시스템 해킹 여부를 검토
 . sulog를 확인하여 허용된 계정 외에 su 명령어를 통해 권한상승을 시도하였는지 검토
 . xferlog를 확인하여 비인가자의 ftp 접근 여부를 검토
 Step 2) 로그 분석에 대한 결과 보고서 작성
 Step 3) 로그 분석 결과보고서 보고 체계 수립
 \\
 ====정책에 따른 시스템 로깅 설정====
 점검목적
 보안 사고 발생 시 원인 파악 및 각종 침해 사실에 대한 확인을 하기 위함
 보안위협
 로깅 설정이 되어 있지 않을 경우 원인 규명이 어려우며, 법적 대응을 위한 충분한 증거로 사용할 수 없음
 점검방법
-Step 1) vi 편집기를 이용하여 “/etc/syslog.conf” 파일 열기
+Step 1) vi 편집기를 이용하여 ''/etc/rsyslog.conf'' 파일 열기
- #vi /etc/syslog.conf
+<WRAP prewrap>
- ※ CentOS 6.x 이상 버전의 로그파일명: rsyslog.conf
+<code bash>
+ #vi /etc/rsyslog.conf
+</code>
+</WRAP>
 Step 2) 아래와 같이 수정 또는, 신규 삽입
+<WRAP prewrap>
+<code vim>
 *.info;mail.none;authpriv.none;cron.none     /var/log/messages
 authpriv.*                                   /var/log/secure
@@ 줄 29: / 줄 44: @@
 *.alert                                      /dev/console
 *.emerg                                      *
-Step 3) 위와 같이 설정 후 SYSLOG 데몬 재시작
+</code>
- #ps –ef | grep syslogd
+</WRAP>
- root 7524 6970 0 Apr 23 - 0:02 /usr/sbin/syslogd
+Step 3) 위와 같이 설정 후 RSYSLOG 데몬 재시작
+<WRAP prewrap>
+<code bash>
+ #ps –ef | grep rsyslogd
+ root 7524 6970 0 Apr 23 - 0:02 /usr/sbin/rsyslogd
  #kill –HUP [PID]
+</code>
+</WRAP>
 서비스 데몬 종류
-메시지         설명
-auth          로그인 등의 인증 프로그램 유형이 발생한 메시지
+^메시지       ^설명                                               ^
-authpriv      개인 인증을 요구하는 프로그램 유형이 발생한 메시지
+|auth         | 로그인 등의 인증 프로그램 유형이 발생한 메시지     |
-cron          cron, at 데몬에서 발생한 메시지
+|authpriv     | 개인 인증을 요구하는 프로그램 유형이 발생한 메시지 |
-daemon        telnet, ftpd 등과 같은 데몬이 발생한 메시지
+|cron         | cron, at 데몬에서 발생한 메시지                   |
-kern          커널이 발생한 메시지
+|daemon       | telnet, ftpd 등과 같은 데몬이 발생한 메시지       |
-lpr           프린터 유형의 프로그램이 발생한 메시지
+|kern         | 커널이 발생한 메시지                              |
-mail          메일 시스템에서 발생한 메시지
+|lpr          | 프린터 유형의 프로그램이 발생한 메시지            |
-news          유즈넷 뉴스 프로그램 유형이 발생한 메시지
+|mail         | 메일 시스템에서 발생한 메시지                     |
-syslog        syslog 프로그램 유형이 발생한 메시지
+|news         | 유즈넷 뉴스 프로그램 유형이 발생한 메시지         |
-user          사용자 프로세스 관련 메시지
+|syslog       | syslog 프로그램 유형이 발생한 메시지              |
-uucp          시스템이 발생한 메시지
+|user         | 사용자 프로세스 관련 메시지                       |
-local0        여분으로 남겨둔 유형
+|uucp         | 시스템이 발생한 메시지                            |
+|local0       | 여분으로 남겨둔 유형                              |
 메시지 우선순위
-등급       메시지               설명
-(높음)   Emergency [emerg]    매우 위험한 상황
+^등급       ^메시지               ^설명 ^
-          Alert [alert]        즉각적으로 조치를 취해야 할 상황
+|4 (높음)   |Emergency [emerg]    |매우 위험한 상황|
-          Critical [crit]      하드웨어 등의 심각한 오류가 발생화 상황
+|3          |Alert [alert]       | 즉각적으로 조치를 취해야 할 상황|
-          Error [err]          에러 발생 시
+|2          |Critical [crit]     | 하드웨어 등의 심각한 오류가 발생화 상황|
-          Warnnig [warning]    주의를 요하는 메시지
+|1          |Error [err]         | 에러 발생 시|
--1         Notice [notice]      에러가 아닌 알림에 관한 메시지
+|0          |Warnnig [warning]   | 주의를 요하는 메시지|
--2         Information [info]   단순한 프로그램에 대한 정보 메시지
+|-1         |Notice [notice]     | 에러가 아닌 알림에 관한 메시지|
--3 (낮음)  Debug [debug]        프로그램 실행 오류 발생 시
+|-2         |Information [info]  | 단순한 프로그램에 대한 정보 메시지|
+|-3 (낮음)  |Debug [debug]       | 프로그램 실행 오류 발생 시|