시스템보안 - Unix / Linux 로그 분석 명령어

로그 분석에 사용되며 문자열을 처리하는 Unix 명령어와 가장 거 리가 먼 것은? 4
① awk - 파일을 읽어 지정된 패턴과 일치하는 패턴을 매칭시켜 그 해당 라인을 찾는 명령어
② wc - 파일 내의 라인, 단어 문자의 수를 출력
③ grep - 파일을 읽어 특정 문자열을 찾는 명령어
④ nohup - 표준 출력을 다른 곳으로 돌리는 작업 명령어, 백그라운드로 작업을 수행하는 명령어

---

UNIX / LINUX 로그 분석과 설명

- Unix / Linux 포렌식에서 조사관은 로그 분석을 통해 침입자의 다양한 침입 흔적을 알 수 있다. 

시스템에 대한 스캔 행위, exploit을 통한 공격, 특정 사용자 계정으로의 접속, root 권한 획득, 트로이 목마 설치, 자료 유출 및 삭제 등 공격자의 행위 하나하나가 모두 시스템에 의해 감시 되고 로그도 남기 때문이다.

 

1. Unix / Linux 로그 경로

     /usr/admin : 초기 유닉스, BSD 계열(HP-UX 9.X, SunOS 4.X)

     /var/admin : 최근 유닉스, BSD 계열(SUN Solaris, HP-UX 20.X 이후, IBM AIX)

     /var/log : 일부 BSD 계열 (BSD, FreeBSD, Sun Solarix, Linux)

     /var/run : 일부 Linux 계열

 

2. 각 로그 별 저장 데이터

로그	저장 데이터	명령어 및 설명
utmp, utmpx	현재 로그인한 사용자들에 대한 상태 정보	who, w, whodo, finger 등의 명령어를 통해 확인
wtmp, wtmpx	사용자들의 로그인, 로그아웃 정보	last 명령어를 통해 확인
sulog, authlog	su(switch user) 명령어 사용 정보	su 명령을 통해 관리자 권한을 얻더라도 utmp와 wtmp에 기록이 남지 않음
syslog, secure	사용자 인증에 관련된 정보	rsh, rlogin, ftp, finger, telnet, pop 3 등에 대한 접속 기록 및 접속 실패 기록 등 시스템의 보안과 가장 밀접한 관계 로그
loginlog, failedlogin, btmp	실패한 로그인 정보	기본적으로 생성되어 있지 않고 수동으로 생성해 주어야 함
shutdownlog	shutdown, reboot, halt 정보	HP-UX에만 있는 로그
access_log, error_log	웹서버 접속정보, 에러 정보	웹 페이지 접속 및 파일 다운로드 기록                               존재하지 않는 파일에 대한 접근 등의 에러 기록
lastlog	각 사용자의 최근 로그인 정보	가장 최근에 로그인한 시간과 접속 장소 기록
messages	콘솔 화면에 출력되는 메세지 정보	timestamp, 호스트명, 프로그램명, 메시지 내용
xferlog	FTP 데몬을 통해 송수신되는 데이터 정보	default는 로그가 남지 않으며 '/etc/inetd.conf'에서 'ftp stream tcp nowait root /usr/sbin/tcpdin.ftpd -l -a' 와 같이 옵션을 주었을 때만 로그 생성
acct, pacct	각 사용자별 실행한 명령어 정보	lastcomm 이나 acctcom 명령어를 통해 확인 가능 아규먼트 기록되지 않음
history	각 사용자별 실행한 명령어, 인자 정보	아규먼트 모두 기록 쉘에 따라 .sh_history, .history, .bash_history 등의 파일로 기록
sialog	Compaq Tru64 OS의 su 명령어 사용 정보	Compaq Tru64에 sulog와 authlog 대신 저장되는 로그