[리눅스/로그관리] 로그의 정기적 검토 및 보고 (U-43)

로그의 정기적 검토 및 보고

 

취약점 개요

■ 위험도
- 상

■ 점검 목적
- 정기적인 로그 점검을 통해 안정적인 시스템 상태 유지 및 외부 공격 여부를 파악하기 위함

■ 보안 위협
- 로그의 검토 및 보고 절차가 없는 경우 외부 침입 시도에 대한 식별이 누락될 수 있고, 침입 시도가 의심되는 사례 발견 시 관련 자료를 분석하여 해당 장비에 대한 접근을 차단하는 등의 추가 조치가 어려움

 

 

점검 및 조치 방법

■ 판단 기준
- 양호 : 접속기록 등의 보안로그, 응용 프로그램 및 시스템 로그 기록에 대한 정기적으로 검토, 분석, 리포트 작성 및 보고 등의 조치가 이루어지는 경우
- 취약 : 위 로그 기록에 대해 정기적으로 검토, 분석, 리포트 작성 및 보고 등의 조치가 이루어 지지 않는 경우

■ 조치 방법
- 로그 기록 검토 및 분석을 시행하여 리포트를 작성하고 정기적으로 보고함

■ 점검 및 조치 사례

● SOLARIS, LINUX, AIX, HP-UX
정기적인 로그 분석을 위하여 아래와 같은 절차 수립
Step 1) 정기적인 로그 검토 및 분석 주기 수립
1. utmp, wtmp, btmp 등의 로그를 확인하여 마지막 로그인 시간, 접속 IP, 실패한 이력 등을 확인하여 계정 탈취 공격 및 시스템 해킹 여부를 검토
2. sulog를 확인하여 허용된 계정 외에 su 명령어를 통해 권한 상승을 시도하였는지 검토
3. xferlog를 확인하여 비인가자의 ftp 접근 여부를 검토
Step 2) 로그 분석에 대한 결과 보고서 작성
Step 3) 로그 분석 결과보고서 보고 체계 수립

 

■ 스크립트

echo"U-43 START"
echo""																							>>	$COMPUTERNAME2>&1
echo"[U-43 로그의정기적검토및보고]"																	>>	$COMPUTERNAME2>&1
echo""																							>>	$COMPUTERNAME2>&1
echo"[인터뷰진행]"																					>>	$COMPUTERNAME2>&1
echo""																							>>	$COMPUTERNAME2>&1
echo"U-43 END"																						>>	$COMPUTERNAME2>&1
echo"======================================================================================"		>>	$COMPUTERNAME2>&1
echo""																							>>	$COMPUTERNAME2>&1
echo""																							>>	$COMPUTERNAME2>&1