가. 취약점 개요
■ 내용 : 내부 정책에 따른 시스템 로깅 설정 적용 여부 점검
■ 목적 : 보안 사고 발생 시 원인 파악 및 각종 침해 사실에 대한 확인을 하기 위함
■ 보안 위협
- 로깅 설정이 되어 있지 않을 경우 원인 규명이 어려우며, 법적 대응을 위한 충분한 증거로 사용할 수 없음
■ 참고
※ 감사 설정이 너무 높으면 보안 로그에 불필요한 항목이 많이 기록되므로 매우 중요한 항목과 혼동할 수 있으며 시스템 성능에도 심각한 영향을 줄 수 있기 때문에 법적 요구 사항과 조직의 정책에 따라 필요한 로그를 남기도록 설정하여야 함
※ 관련 점검 항목 : A-20(상), A-85(상)
나. 점검방법
■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등
■ 판단기준
- 양호 : 로그 기록 정책이 정책에 따라 설정되어 수립되어 있으며 보안정책에 따라 로그를 남기고 있을 경우
- 취약 : 로그 기록 정책 미수립 또는, 정책에 따라 설정되어 있지 않거나 보안정 책에 따라 로그를 남기고 있지 않을 경우
다. 조치방법
■ 조치방법 : 로그 기록 정책을 수립하고, 정책에 따라 syslog.conf 파일을 설정
■ SOLARIS
Step 1) vi 편집기를 이용하여 “/etc/syslog.conf” 파일 열기
#vi /etc/syslog.conf
Step 2) 아래와 같이 수정 또는, 신규 삽입
| mail.debug /var/log/mail.log *.info /var/log/syslog.log *.alert /var/log/syslog.log *.alert /dev/console *.alert root *.emerg * |
Step 3) 위와 같이 설정 후 SYSLOG 데몬 재시작
< SOLARIS 9 이하 버전 >
#ps –ef | grep syslogd
root 7524 6970 0 Apr 23 - 0:02 /usr/sbin/syslogd #kill –HUP [PID]
< SOLARIS 10 이상 버전 >
#svcs -a | grep system-log
online 16:23:03 svc:/system/system-log:default
#svcadm disable svc:/system/system-log:default
#svcadm enable svc:/system/system-log:default
■ LINUX
Step 1) vi 편집기를 이용하여 “/etc/syslog.conf” 파일 열기
#vi /etc/syslog.conf
※ CentOS 6.x 이상 버전의 로그파일명: rsyslog.conf
Step 2) 아래와 같이 수정 또는, 신규 삽입
| *.info;mail.none;authpriv.none;cron.none /var/log/messages authpriv.* /var/log/secure mail.* /var/log/maillog cron.* /var/log/cron *.alert /dev/console *.emerg * |
Step 3) 위와 같이 설정 후 SYSLOG 데몬 재시작
#ps –ef | grep syslogd
root 7524 6970 0 Apr 23 - 0:02 /usr/sbin/syslogd
#kill –HUP [PID]
■ AIX
Step 1) vi 편집기를 이용하여 “/etc/syslog.conf” 파일 열기
#vi /etc/syslog.conf
Step 2) 아래와 같이 수정 또는, 신규 삽입
| *.emerg * *.alert /dev/console *.alert /var/adm/alert.log *.err /var/adm/error.log mail.info /var/adm/mail.log auth.info /var/adm/auth.log daemon.info /var/adm/daemon.log *.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info /var/adm/messages |
Step 3) 위와 같이 설정 후 SYSLOG 데몬 재시작
#refresh –s syslogd 또는,
#ps –ef |grep syslogd
root 7524 6970 0 Apr 23 - 0:02 /usr/sbin/syslogd
#kill –HUP [PID]
■ HP-UX
Step 1) vi 편집기를 이용하여 “/etc/syslog.conf” 파일 열기
#vi /etc/syslog.conf
Step 2) 아래와 같이 수정 또는, 신규 삽입
| *.notice /var/adm/syslog/syslog.log *.alert /dev/console *.emerg * |
Step 3) 위와 같이 설정 후 SYSLOG 데몬 재시작
#/sbin/init.d/syslogd start 또는,
#ps –ef |grep syslogd
root 7524 6970 0 Apr 23 - 0:02 /usr/sbin/syslogd
#kill –HUP [PID]
■ Syslog.conf 파일 형식
| 구분 | 왼쪽 필드 | 오른쪽 필드 |
| 형식 | A.B | C |
| 예시 | mail.debug;cron.crit;auth.info | /var/log/syslog.log |
| 설명 | A서비스 데몬의 B 로그레벨 이상 | C 형식으로 로그를 남김 |
[오른쪽 필드의 로그 형식 종류]
1) var/log/syslog.log -> 해당 파일에 로그를 기록
2) dev/console -> 모니터 화면과 같은 지정된 콘솔로 메시지 출력
3) user -> 지정된 사용자의 화면에 메시지 출력
4) * -> 현재 로그인되어 있는 모든 사용자의 화면에 메시지 출력
5) @192.168.0.1 -> 지정된 호스트로 로그 전송
| 서비스 데몬 종류 | |
| 메시지 | 설명 |
| auth | 로그인 등의 인증 프로그램 유형이 발생한 메시지 |
| authpriv | 개인 인증을 요구하는 프로그램 유형이 발생한 메시지 |
| cron | cron, at 데몬에서 발생한 메시지 |
| daemon | telnet, ftpd 등과 같은 데몬이 발생한 메시지 |
| kern | 커널이 발생한 메시지 |
| lpr | 프린터 유형의 프로그램이 발생한 메시지 |
| 메일 시스템에서 발생한 메시지 | |
| news | 유즈넷 뉴스 프로그램 유형이 발생한 메시지 |
| syslog | syslog 프로그램 유형이 발생한 메시지 |
| user | 사용자 프로세스 관련 메시지 |
| uucp | 시스템이 발생한 메시지 |
| local0 | 여분으로 남겨둔 유형 |
| 메시지 우선순위 | ||
| 등급 | 메시지 | 설명 |
| 4 (높음) | Emergency [emerg] | 매우 위험한 상황 |
| 3 | Alert [alert] | 즉각적으로 조치를 취해야 할 상황 |
| 2 | Critical [crit] | 하드웨어 등의 심각한 오류가 발생화 상황 |
| 1 | Error [err] | 에러 발생 시 |
| 0 | Warnnig [warning] | 주의를 요하는 메시지 |
| -1 | Notice [notice] | 에러가 아닌 알림에 관한 메시지 |
| -2 | Information [info] | 단순한 프로그램에 대한 정보 메시지 |
| -3 (낮음) | Debug [debug] | 프로그램 실행 오류 발생 시 |
라. 조치시 영향
■ 위에 제시한 모든 로그를 설정할 경우, 시스템 퍼포먼스와 로그 저장에 따른 서버 용량 부족 문제가 발생할 수 있으므로 시스템 운영환경과 특성을 고려하여 적용