시스템 보안 - 5장. Unix(Linux) 로그 관리

1. 시스템 로그 설정과 관리

- Unix(Linux) 로그가 저장되는 경로는 시스템마다 조금씩 다르며 일반적으로 /var/adm 디렉터리에
  주로 저장되며 Linux 경우 /var/log 디렉터리에 주로 저장한다.
- /var/log/secure와 같은 텍스트 형식의 로그를 실시간으로 계속 모니터링 하려면
  “tail -f /var/log/messages” 명령을 이용하면 유용하다.
- utmp(x), wtmp(x), lastlog 등 바이너리 형식의 로그파일들은 cat 이나 vi 등의 텍스트 편집기를 통해서
  확인이 안되기 때문에 별도의 명령어를 이용 해야한다.
- syslog나 데몬 프로세스가 출력하는 로그 파일을 그대로 방치하면 사이즈가 커지면서 관리하기
  어려워지고 디스크 사용률이 100%가 되어 시스템 장애가 발생할 수 있는 문제 있다.
- logrotate는 시스템 로그파일을 관리하는 도구로 순환(rotate), 압축(compress)등의 기능이 있다.

syslog 파일 구조   facility.priority; facility.priority; ...... action(logfile-location)   가. facility : 로그 생성 서비스   나. priority : 로그 수준(Level)   다. action : 로그 파일, 콘솔, 원격 로그서버, 특정 사용자 등에 로그를 남길 수 있음     로그 파일 : 파일명(경로) 지정(ex, /var/log/secure)     콘솔 : /dev/console로 지정 시 콘솔 출력     원격 로그 서버 : “@호스트 주소”를 통해 지정한 호스트로 로그를 보냄     user : 지정된 사용자의 스크린으로 메시지를 보냄     * : 현재 로그인되어 있는 모든 사용자의 스크린으로 메시지를 보램

 

2. 주요 로그 파일

utmp 로그 파일(Linux/Unix(SunOS))   - 현재 로그인한 사용자의 상태정보를 담고 있는 로그 파일   - binary 파일로 되어 있으며 그 내용을 확인하기 위해서는 “w”, “who”, “finger” 등의 명령어를 이용     Linux : /var/run/utmp, Unix(SunOS) : /var/adm/utmpx

wtmp 로그 파일(Linux/Unix(SunOS)   - 사용자의 성공한 로그인/로그아웃 정보, 시스템의 Boot/Shutdown 정보에 대한 히스토리를 담고 있는 로그 파일   - binary 파일로 되어 있으며 그 내용을 확인하기 위해서는 “last” 명령 사용   - Linux : /var/log/wtmp, Unix(SunOS) : /var/adm/wtmpx

lastlog 로그 파일(Linux/Unix(SunOS)   - 가장 최근에(마지막으로) 성공한 로그인 기록을 담고 있는 로그 파일   - binary 파일로 되어 있으며 그 내용을 확인하기 위해서는 “lastlog” (Linux), “finger”(Linux, Unix/SunOS) 명령 사용   - Linux : /var/log/lastlog, Unix(SunOS) : /var/adm/lastlog

btmp(Linux), loginlog(Unix(SunOS)) 로그 파일   - 실패한 로그인 시도에 대한 기록을 담고 있는 파일   - Linux : /var/log/btmp, binary 파일로 되어 있으며 그 내용을 확인하기 위해서는 “lastb” 명령을 사용하며     실패한 모든 로그를 남김   - Unix(SunOS) : /var/adm/loginlog, 텍스트 파일로 되어 있으므로 vi 등의 편집기를 통해 로그 내용을     확인해 볼 수 있으며 5회 이상 실패 시 실패한 로그를 남김

sulog 로그 파일(Unix(SunOS))   - su(switch user) 명령을 사용한 결과를 저장한 파일로 SunOS를 포함한 Unix 계열에서만 보임   - Unix(SunOS) : /var/adm/sulog, 텍스트 파일로 되어 있으므로 vi 등의 편집기를 통해 로그 내용을 확인 가능   - Linux 계열의 경우 /var/log/secure 로그 파일에 su 명령을 사용한 결과가 남음

acct/pacct 로그 파일(Linux/Unix(SunOS))   - acct/pacct 로그 파일은 시스템에 로그인한 모든 사용자가 로그아웃할 때까지 입력한 명령어와     터미널 종류,프로세스 시작 시간 등을 저장한 로그   - binary 파일로 되어 있으며 그 내용을 확인하기 위해서는 “lastcomm” 명령을 사용   - Linux : /var/account/pacct, 기본 생성되는 로그 파일이 아니므로 “accton /var/account/pacct” 명령 실행 필요   - Unix(SunOS) : /var/adm/pacct, 기본 생성되는 로그 파일이 아니므로     “/usr/lib/acct/accton /var/adm/pacct” 명령 실행 필요

history 로그 파일(Linux/Unix(SunOS))   - 각 계정별로 실행한 명령어에 대한 기록을 저장한 파일로 각 계정별 홈 디렉터리에 존재   - 로그 파일은 “.쉘종류_history” 형식으로 생성되며 텍스트 파일로 되어 있으므로 vi 등의 편집기를 통해     로그 내용을 확인해 보거나 history 명령을 이용할 수 있음

secure 로그 파일(Linux)   - 주로 사용자/그룹 생성/삭제, 로그인 등의 사용자 인증에 대한 정보를 기록하고 있는 로그 파일로서     서버보안에 아주 민감하고 중요한 파일   - 원격에서 접속한 내역과 su(switch user) 명령을 수행한 내역 등이 저장   - Linux : /var/log/secure

messages 로그 파일(Linux)   - 리눅스 시스템의 가장 기본적인 시스템 로그 파일로 시스템 운영에 대한 전반적인 메시지를 저장   - 주로 시스템 데몬들의 실행상황과 내역, 사용자들의 접속정보, TCP Wrapper 접근 제어 정보 등을 저장   - Linux : /var/log/messages

dmesg 로그 파일(Linux)   - 리눅스가 부팅될 때 출력되는 모든 메시지를 기록   - 텍스트 형식의 로그 파일을 보거나 dmesg 명령을 통해 내용을 확인 가능   - Linux : /var/log/dmesg

boot.log 로그 파일(Linux)   - 리눅스가 부팅될 때 파일 시스템에 대한 체크, 서비스 데몬들의 실행 상태을 기록하고 있는 로그파일로    성공/실패 여부를 확인 가능   - Linux : /var/log/boot.log

xferlog 로그 파일(Linux)   - 리눅스 시스템의 FTP 로그 파일로서 proftpd 또는 vsftpd 데몬들의 서버내역을 기록하는 파일   - FTP로 로그인하는 사용자에 대한 로그 기록과 어떤 파일을 업로드/다운로드 하였는가에 대하여 상세하게 기록   - Linux : /var/log/xferlog

cron 로그 파일(Linux)   - 시스템의 정기적인 작업에 대한 로그, 즉 시스템 cron 작업에 대하여 기록하고 있는 파일   - /etc/ 디렉토리에는 cron, hourly, cron.daily, cron.weekly, cron.monthy 디렉터리가 있음,     각각 시간별, 일별, 주별, 월별로 정기적으로 운영체제에서 자동 실행할 작업 스크립트 파일이 존재

maillog 로그 파일(Linux)   - 이 로그파일은 sendmail 또는 qmail 등과 같은 메일 송수신 관련 내역들과 ipop 또는 imap 등과 같은     수신내역들에 대하여 기록   - Linux : /var/log/maillog

mail 로그 파일(Linux)   - 사용자들에 대한 메일을 보관하고 있는 디렉터리로서 메일을 한번 이상 사용한 사용자는     사용자 계정 ID와 동일한 파일이 하나씩 존재   - 사용자 계정 생성 시에 /var/spool/mail 디렉터리 내에 생성하는 계정명과 도일한 메일 파일이     생성되며 메일을 읽은 후에 사용자의 메일 디렉터리로 저장하거나 메일을 삭제했을 경우에는     이 파일에서 메일 내용 삭제   - Linux : /var/spool/mail