기본적으로 시스템 운영 중 발생하는 info 및 alert 등에 대한 기록을 남기기 위한 (r)syslog.conf 파일의 보안 설정이 되어 있는지 점검이 필요하며, syslog 데몬은 시스템의 로그를 기록하는 전용 데몬으로써 원격 또는 로컬 시스템의 커널 메시지 및 시스템 로그를 감시하는 역할을 하며, 이 설정이 제대로 되어 있지 않을 경우 적절한 로그가 시스템 로그 파일에 남지 않아 악의적인 목적의 사용자가 침입했을 때의 흔적이나 시스템 오류 사항에 대한 분석이 어렵게 된다.
/etc/syslog.conf 파일 소유자 및 권한 설정(취약한 설정)
rsyslog.conf 파일은 데몬 프로세스의 구성 파일 중 하나로, 메시지를 생성하는 대상, 위험수준, 메시지 전달 대상을 가지고 규칙을 설정해줌에도 불구하고, 불 필요한 권한이 설정되어 있다.
악의적인 목적의 사용자가 로그인 인증 관련 기록을 남기는 /var/log/secure에 해당하는 authpriv.*(개인적인 인증에 대한 정보)와 메일, 인증, 클론 서비스에 대해서는 기록하지 말고, 전체적인 로그를 기록하는 /var/log/message에 해당하는 *.info:mail.none;authpriv.none;cron.none(모든 서비스에 대한 info 수준 이상의 로그를 기록하되 mail, authpriv, cron 서비스에 대해서는 기록하지 말아라)주석으로 처리했다.
악의적인 목적의 계정이 시스템에 접근
root 계정에서 인터넷 슈퍼 데몬 xinetd의 로그로 권한부여와 관련된 내용의 로그가 쌓이는 것을 확인할 수 있는 /var/log/secure를 확인했을 때 악의적인 목적의 계정인 mbl3ck 계정이 시스템에 접근한 기록이 남지 않는 것을 확인할 수 있다.
/var/log/messages는 부팅 시의 메시지를 포함해 전체 시스템의 로그를 기록한다
이 로그의 내용은 mail, cron, daemon, kern, auth 등의 시작, 종료, 엑티브 같은 것이다. 보안 문제 발생 시 가장 먼저 확인해 봐야하는 파일이며, 예를 들어 버퍼 오버플로우 공격의 경우 타임스탬프와 함께 깨진 문자의 나열로 기록이 된다.
하지만, 여기에도 악의적인 목적을 가진 사용자 계정인 mbl3ck의 계정이 기록되지 않는다. 이로써, 악의적인 목적을 가진 사용자가 어떤 행위를 하더라도, 탐지 자체가 어렵게 된다.
/etc/syslog.conf 파일 소유자 및 권한 설정(양호한 설정)
악의적인 목적을 가진 사용자가, /etc/syslog.conf 파일을 수정해, 자신이 시스템에 접근한 것을 숨기는 상황을 만들 수 없게 하기 위해서 일반 사용자의 계정과, 그룹에 속한 사용자의 계정들은 해당 파일에 접근해, 수정하지 못하도록 퍼미션을 설정해 주어야 한다.
퍼미션을 변경한다고 해서, 악의적인 목적의 사용자가 악의적인 목적의 행위를 하지 못한다기 보다는, 버거롭게 해 포기하게 만든다는 목적으로 보는 것이 좋을 것 같다.
'리눅스 > 주요정보통신기반시설_UNIX' 카테고리의 다른 글
| [파일 및 디렉토리 관리]2.8 CentOS 6.7 /etc/services 파일 소유자 및 권한 설정 (0) | 2019.03.26 |
|---|---|
| [파일 및 디렉토리 관리]2.6 CentOS 6.7 /etc/(x)inetd.conf 파일 소유자 및 권한 설정 (0) | 2019.03.21 |
| [파일 및 디렉토리 관리]2.5 CentOS 6.7 /etc/hosts 파일 소유자 및 권한 설정 (0) | 2019.03.19 |
| [파일 및 디렉토리 관리]2.4 CentOS 6.7 /etc/shadow 파일 소유자 및 권한 설정 (0) | 2019.03.18 |
| [파일 및 디렉토리 관리]2.3 CentOS 6.7 /etc/passwd 파일 소유자 및 권한 설정 (0) | 2019.03.18 |
