[리눅스/로그 관리] 정책에 따른 시스템 로깅 설정 (U-72)

정책에 따른 시스템 로깅 설정

 

취약점 개요

■ 위험도
- 하

■ 점검 목적
- 보안 사고 발생 시 원인 파악 및 각종 침해 사실에 대한 확인을 하기 위함

■ 보안 위협
- 로깅 설정이 되어 있지 않을 경우 원인 규명이 어려우며, 법적 대응을 위한 충분한 증거로 사용할 수 없음

점검 및 조치 방법

■ 판단 기준
- 양호 : 로그 기록 정책이 정책에 따라 설정되어 수립되어 있으며 보안정책에 따 라 로그를 남기고 있을 경우
- 취약 : 로그 기록 정책 미수립 또는, 정책에 따라 설정되어 있지 않거나 보안정 책에 따라 로그를 남기고 있지 않을 경우

■ 조치 방법
- 로그 기록 정책을 수립하고, 정책에 따라 syslog.conf 파일을 설정

■ 점검 및 조치 사례
■ SOLARIS Step 1) vi 편집기를 이용하여 “/etc/syslog.conf” 파일 열기 #vi /etc/syslog.conf Step 2) 아래와 같이 수정 또는, 신규 삽입

Step 3) 위와 같이 설정 후 SYSLOG 데몬 재시작
< SOLARIS 9 이하 버전 >
#ps –ef | grep syslogd
root 7524 6970 0 Apr 23 - 0:02 /usr/sbin/syslogd
#kill –HUP [PID]
< SOLARIS 10 이상 버전 >
#svcs -a | grep system-log
online 16:23:03 svc:/system/system-log:default
#svcadm disable svc:/system/system-log:default
#svcadm enable svc:/system/system-log:default

 

■ LINUX
Step 1) vi 편집기를 이용하여 “/etc/syslog.conf” 파일 열기
#vi /etc/syslog.conf
※ CentOS 6.x 이상 버전의 로그파일명: rsyslog.conf
Step 2) 아래와 같이 수정 또는, 신규 삽입

Step 3) 위와 같이 설정 후 SYSLOG 데몬 재시작
#ps –ef | grep syslogd
root 7524 6970 0 Apr 23 - 0:02 /usr/sbin/syslogd
#kill –HUP [PID]

 

■ AIX
Step 1) vi 편집기를 이용하여 “/etc/syslog.conf” 파일 열기
#vi /etc/syslog.conf
Step 2) 아래와 같이 수정 또는, 신규 삽입

Step 3) 위와 같이 설정 후 SYSLOG 데몬 재시작
#refresh –s syslogd 또는,
#ps –ef |grep syslogd

root 7524 6970 0 Apr 23 - 0:02 /usr/sbin/syslogd
#kill –HUP [PID]

 

■ Syslog.conf 파일 형식

[오른쪽 필드의 로그 형식 종류]
1. var/log/syslog.log -> 해당 파일에 로그를 기록
2. dev/console -> 모니터 화면과 같은 지정된 콘솔로 메시지 출력
3. user -> 지정된 사용자의 화면에 메시지 출력
4. * -> 현재 로그인되어 있는 모든 사용자의 화면에 메시지 출력
5. @192.168.0.1 -> 지정된 호스트로 로그 전송

 

■ 스크립트

echo " U-72 START "
echo " [ U-72 정책에 따른 시스템 로깅 설정 ] " 		>>$COMPUTERNAME 2>&1
echo " ==> 로그 기록 정책을 수립하고, 정책에 따라 syslog.conf 파일을 선정 " >> $COMPUTERNAME 2>&1
echo " U-72 END "
echo "==========================================================="
echo ""

■ 용어 설명 / 팁
감사 설정이 너무 높으면 보안 로그에 불필요한 항목이 많이 기록되므로 매우 중요한 항목과 혼동할 수 있으며 시스템 성능에도 심각한 영향을 줄 수 있기 때문에 법적 요구 사항과 조직의 정책에 따라 필요한 로그를 남기도록 설정하여야 함
※ 관련 점검 항목 : A-20(상), A-85(상)