서버관리자 업무
지속적으로 보안 유지 관리를 해야 함
root로 직접 로그인하는 것은 막고 su 명령어로 변경하기
사용자의 계정을 관리
시스템 자원 관리
네트워크 관리
로그 관리
로그는 안 볼 거면 모으지 말기
윈도우는 중앙 집중화된 로그 수집
유닉스는 로그를 산발적으로 저장
윈도우 시스템 이벤트 로그
바이너리 형식이기 때문에 별도의 프로그램으로 열어야 한다.
이벤트 아이디
각 로그별로 고유한 번호를 부여 번호를 알고 있으면 빠르고 효과적인 분석 가능
응용 프로그램 로그
응용 프로그램이 기록한 다양한 이벤트 저장, AppEvent.Evn
보안 로그
로그인 시도 및 파일 생성, 열람, 삭제 등 저장, SecEvent.Evn
시스템 로그
시스템 구성요소가 기록하는 이벤트, SysEvent.Evn
감사정책
어떤 로그를 남길지를 정의한 규칙
개체 액세스 감사
접근을 시도하거나 속성 변경 등을 탐지
계정 로그인 이벤트 감사
도메인 계정의 사용으로 생성
계정의 로그인에 대한 사항을 로그로 남김
로그인 이벤트 감사
로컬 계정의 사용으로 생성
계정 로그인 이벤트 감사에 비해서 다양한 종류의 이벤트를 확인할 수 있다.
로그 정책 설정
윈도우에서는 로그 정책이 대부분 정보를 로깅하지 않게 기본으로 설정
따라서 적절한 로깅 설정이 필요함
유닉스/리눅스의 로그 분석과 설정
utmp(x)
user
현재 시스템에 로그인한 사용자의 상태
wtmp(x)
who
로그인, 로그아웃, 시스템 재부팅 정보
btmp(x)
bad
로그인 실패 정보를 기록
sulog
권한 변경에 대한 로그
acct/pacct 로그
프로그램에 대한 정보를 저장
.sh_history or .bash_history
실행한 명령에 대한 기록
각 계정의 홈 디렉터리에 저장
loginlog
리눅스
실패한 모든 로그를 남김
유닉스
5회 이상 실패 시 실패한 로그를 남김
xferlog
ftp 로그 파일
proftpd, vsftpd데몬들의 서비스 내역을 기록하는 파일
dmesg
부팅될 때 출력되는 모든 메시지를 기록
cron
정기적인 작업에 대한 로그
유닉스/리눅스 시스템 로그 설정
syslog를 통해 로그를 생성하고 관리함
메시지를 체계적으로 관리할 수 있고 어떤 로그를 어디에 남길지 결정
priority(메시지 우선순위)
emergency, alert, critical, error, warning, notice, information, debug
로그 모니터링 및 순환
로그를 계속 모니터링하려면 tail -f /var/log/message 명령을 이용
logrotate는 시스템 로그파일에 대하여 로테이트, 압축, 또는 메일을 발송해 주는 리눅스 시스템 로그파일 관리기이다.
lls 웹 서버 로그
w3c 확장 로그파일 형식
Apache 웹 서버 로그
httpd.conf 파일에서 확인할 수 있다.
공개 해킹 도구
크래킹 S/W
악의적인 목적을 가지고 시스템에 침입하는 행위
id, pw를 대입하여 맞는지, 틀리는지를 지속적으로 수행
john the ripper, pwdump, L0phtCrack
키로그 S/W
키보드로 입력한 정보를 로그로 남기는 프로그램
서버보안용 S/W 설치 및 운영
취약점 분석 도구
SATAN, SARA, SAINT, COPS, Nessus, nmap
무결성 점검 도구
tripwire
스캔 탐지 도구
mscan, sscan, portsentry
네트워크 모니터링 및 침입탐지 도구
snort
방화벽
TCP-Wrapper, IPchain/IPtable
'공부 > 정보보안기사필기정리' 카테고리의 다른 글
| 18. 최신 보안 주제 (0) | 2023.04.30 |
|---|---|
| 17. 시스템 보안위협 및 대응책 (0) | 2023.04.27 |
| 15-2. 리눅스 서버 보안 (0) | 2023.04.22 |
| 15-1. 유닉스 서버 보안 (1) | 2023.04.20 |
| 14. 윈도우 서버 보안 (0) | 2023.04.19 |