post by WHITEHATS
웹기반 정보보안 엔지니어 과정 160220 13번째 강의 - 2
14.LOG
14.LOG
•LOG
- 감사 서비스를 통해 남겨지는 시스템의 동작 흔적
- 시스템의 오류 및 동작 상태에 대한 정보를 남기
- 차후 침투가 발생했을 때 공격자의 흔적을 추적하기 위한 필수 정보
- 일반적으로 /var/log 경로에 생성 됨
•감사 서비스(monitoring)
- rsyslogd에 의해 제어 됨
- 환경 설정 파일인 “/etc/rsyslog.conf”을 수정하여 로그의 저장 위치 및 파일 이름을 수정할 수 있음
14.LOG
•/etc/rsyslog.con
f- 선택자 필드(메시지, 우선순위) 와 액션 필드로 구분 됨
14.LOG파일의 종류
•/var/log/wtmp
- 계정의 로그인 및 로그아웃 정보를 저장
- 로그인, 로그아웃, shutdown, booting 정보 등
- 바이너리(실행) 파일
- 확인 : last 명령으로 확인
이렇게 하면 안보인다!!
이렇게 본다!
주르륵 뜬다~
•/var/log/lastlog
-계정의 최근 로그인 정보를 저장
- 계정 이름, 터미널, 마지막 로그인 시간
- 바이너리(실행) 파일
- 확인 : lastlog 명령으로 확인
•/var/run/utmp
- 현재 로그인한 계정의 상태 정보를 저장
- 로그인 계정 이름, 터미널, 원격 로그인 주소, 로그인 시간 등
- 바이너리(실행) 파일
- 확인 : w, who 등의 명령으로 확인
w상세내용보기 who요약정보보기
•/var/log/secure
- telnet, ssh, ftp 등의 원격 로그인의 인증 정보 저장
- 텍스트 파일
- 확인 : vim, tail/head, cat 등으로 확인
grep으로 필터링하는게 필수
또한 -f 로 실시간으로 볼 수 있다!!
•/var/log/btmp
- 실패한 로그인 시도를 저장- 바이너리(실행) 파일
- 확인 : lastb 명령으로 확인
•/var/log/messages
- 시스템 동작에 대한 전반적인 모든 이벤트가 저장 됨
- 로그인, 장치 동작, 시스템 설정 오류, 파일 시스템, 네트워크 연결 정보 등이 저장 됨
- 텍스트 파일
- 확인 : 필터링을 하거나 실시간 로그 확인 방법을 많이 사용 함
-- [root@localhost~]# cat /var/log/messages | grep [패턴]
-- [root@localhost~]# tail –f /var/log/messages
•/var/log/boot.log
- 부팅 동작에서 서비스 데몬들의 실행 상태정보 저장
•/var/log/sulog
- su 명령의 사용 내역이 저장
- 공격자가 일반계정으로 접근한 후 su명령으로 관리자의 권한을 악용할 수 있으므로 불법적인 su 명령 사용을 주기적으로 점검해야 함
- 환경설정을 미리 해야지 로그가 저장 됨
- 텍스트 파일
- 확인 : “su:session”으로 필터링해서 확인
초기에 자동으로 저장 안된다. 그래서 따로 설정해줘야된다 su 명령 사용을 최신화 하는 설정을 줘야된다.
•sulog 환경설정
authpriv.info 로 수정!!
없으면 새로 만들어야 한다!
•/var/log/cron
- crond 서비스 동작에서 예약 작업의 동작 상태 정보 확인
- 텍스트 파일
- 확인 : vim, tail/head, cat 등으로 확인
•기타 로그 파일
하얀모자 whitehat
'▶ 웹기반 정보보안 과정 > Linux' 카테고리의 다른 글
| 160220 13번째 강의 - 3 (0) | 2016.02.20 |
|---|---|
| 리눅스(Linux) - group quota 설정 & 전체 quota 설정 (0) | 2016.02.20 |
| 160220 13번째 강의 - 1 (0) | 2016.02.20 |
| 리눅스(Linux) - Permission 퍼미션 실습 2 (0) | 2016.02.19 |
| 160218 12번째강의 - 3 (0) | 2016.02.19 |
