시스템보안 - Unix / Linux 로그 분석 명령어
로그 분석에 사용되며 문자열을 처리하는 Unix 명령어와 가장 거 리가 먼 것은? 4
① awk - 파일을 읽어 지정된 패턴과 일치하는 패턴을 매칭시켜 그 해당 라인을 찾는 명령어
② wc - 파일 내의 라인, 단어 문자의 수를 출력
③ grep - 파일을 읽어 특정 문자열을 찾는 명령어
④ nohup - 표준 출력을 다른 곳으로 돌리는 작업 명령어, 백그라운드로 작업을 수행하는 명령어
UNIX / LINUX 로그 분석과 설명
- Unix / Linux 포렌식에서 조사관은 로그 분석을 통해 침입자의 다양한 침입 흔적을 알 수 있다.
시스템에 대한 스캔 행위, exploit을 통한 공격, 특정 사용자 계정으로의 접속, root 권한 획득, 트로이 목마 설치, 자료 유출 및 삭제 등 공격자의 행위 하나하나가 모두 시스템에 의해 감시 되고 로그도 남기 때문이다.
1. Unix / Linux 로그 경로
/usr/admin : 초기 유닉스, BSD 계열(HP-UX 9.X, SunOS 4.X)
/var/admin : 최근 유닉스, BSD 계열(SUN Solaris, HP-UX 20.X 이후, IBM AIX)
/var/log : 일부 BSD 계열 (BSD, FreeBSD, Sun Solarix, Linux)
/var/run : 일부 Linux 계열
2. 각 로그 별 저장 데이터
로그 | 저장 데이터 | 명령어 및 설명 |
utmp, utmpx | 현재 로그인한 사용자들에 대한 상태 정보 | who, w, whodo, finger 등의 명령어를 통해 확인 |
wtmp, wtmpx | 사용자들의 로그인, 로그아웃 정보 | last 명령어를 통해 확인 |
sulog, authlog | su(switch user) 명령어 사용 정보 | su 명령을 통해 관리자 권한을 얻더라도 utmp와 wtmp에 기록이 남지 않음 |
syslog, secure | 사용자 인증에 관련된 정보 | rsh, rlogin, ftp, finger, telnet, pop 3 등에 대한 접속 기록 및 접속 실패 기록 등 시스템의 보안과 가장 밀접한 관계 로그 |
loginlog, failedlogin, btmp | 실패한 로그인 정보 |
기본적으로 생성되어 있지 않고 수동으로 생성해 주어야 함 |
shutdownlog | shutdown, reboot, halt 정보 | HP-UX에만 있는 로그 |
access_log, error_log | 웹서버 접속정보, 에러 정보 |
웹 페이지 접속 및 파일 다운로드 기록 존재하지 않는 파일에 대한 접근 등의 에러 기록 |
lastlog | 각 사용자의 최근 로그인 정보 | 가장 최근에 로그인한 시간과 접속 장소 기록 |
messages | 콘솔 화면에 출력되는 메세지 정보 | timestamp, 호스트명, 프로그램명, 메시지 내용 |
xferlog | FTP 데몬을 통해 송수신되는 데이터 정보 | default는 로그가 남지 않으며 '/etc/inetd.conf'에서 'ftp stream tcp nowait root /usr/sbin/tcpdin.ftpd -l -a' 와 같이 옵션을 주었을 때만 로그 생성 |
acct, pacct | 각 사용자별 실행한 명령어 정보 |
lastcomm 이나 acctcom 명령어를 통해 확인 가능 아규먼트 기록되지 않음 |
history | 각 사용자별 실행한 명령어, 인자 정보 |
아규먼트 모두 기록 쉘에 따라 .sh_history, .history, .bash_history 등의 파일로 기록 |
sialog | Compaq Tru64 OS의 su 명령어 사용 정보 | Compaq Tru64에 sulog와 authlog 대신 저장되는 로그 |
'IT > 정보보안' 카테고리의 다른 글
[정보보안기사] 애플리케이션 보안 - 인터넷 응용 보안 (2) MAIL 보안 (0) | 2019.06.27 |
---|---|
시스템보안 - 침입 탐지 기술 (0) | 2019.06.26 |
[정보보안기사] 네트워크 보안 - 2019년 보안 기술 동향 (0) | 2019.06.24 |
[정보보안기사] 네트워크 보안 - 네트워크 장비 활용 보안 기술 (0) | 2019.06.24 |
[정보보안기사] 네트워크 보안 - 네트워크 기반 공격 이해 (0) | 2019.06.24 |
댓글