[Secure]_System-Linux_#08_[시스템 로그 관리,/etc/rsyslog.conf,/var/log/secure,/var/log/cron,/var/log/spooler,/var/log/boot.log,로그 기록 주기 설정,로그온 시 경고 메시지 제공,동일한 UID 금지,사용자 shell 점검,Sessin Ti..

[ 시스템 로그 관리 ]

cat /etc/rsyslog.conf

--> 

---

#### RULES ####
#Log all kernel messages to the console.
#Logging much else clutters up the screen.
kern.*              /dev/console   --> 커널과 관련된 모든 로그.(주석 처리 없으므로 유효)
#kern.*               @172.16.10.54   --> 커널과 관련된 모든 로그는 172.16.10.54로(주석o라 무효.)


# Log anything (except mail) of level info or higher.   --> 메일을 제외한 모든 info혹은 그보다높은 레벨
# Don't log private authentication messages!   --> 개인 인증 메시지 로그는 빼라.
*.info; mail.none; authpriv.none; cron.none               /var/log/messages

{ <부가 설명>
*.info;  --> 모든 프로그램의 info등급.
mail.none;  --> 메일은 제외. (none : 제외)
authpriv.none;  --> 로그인 성공, 실패 메시지를 제외.(authpriv : 보안 및 승인에 관한 메시지) 
cron.none  --> crontab 제외.
}

# The authpriv file has restricted access.
authpriv.*               /var/log/secure
-->> 보안인증(로그인/로그아웃)에 관련된 모든 로그 기록.


# Log all the mail messages in one place.
mail.*               -/var/log/maillog   --> [ - : 사용자에 따라 홈디렉토리가 다르기때문에. ]
{ ex) test사용자의 홈디렉토리 : /home/test/var/log/maillog }
-->> 메일에 관련된 모든로그를 사용자마다 기록.

# everybody gets emergency messages
*.emerg               :omusrmsg:*   --> emerg 등급일때는 모든 디렉토리에다가 전부 로그 남겨라.
-->> 최대 위험등급인 emerg 메시지 발생 시 모든 로그 저장위치에 기록.


# Save news error of level crot and higher in a special file.
uucp,news.crit               /var/log/spooler   --> 프린터 관련 로그.
-->> 외부 백업장치에 관련된 critical 등급의 로그 기록.

{ <부가설명>
uucp : Unix-to-Unix Copy --> Backup
}

# Save boot messages also to boot.log
local7.*               /var/log/boot.log 
-->> 시스템이 부팅될 때 발생하는 로그 메시지를 기록.
{ local0~7 : 시스템부팅 메시지 기록. }

---

 

 

 

---

cat /var/log/secure
----->
Feb  6 10:48:09 localhost sshd[8421]: pam_unix(sshd:session): session closed for user root
Feb  6 10:48:24 localhost sshd[9128]: Accepted password for root from 192.168.0.1 port 59689 ssh2

   --> 59689포트로 ssh2로 192.168.0.1 이 root계정으로 들어왔다.
Feb  6 10:48:24 localhost sshd[9128]: pam_unix(sshd:session): session opened for user root by (uid=0)
----------

 

 

cat /var/log/cron
---> cron은 자체적으로 돌리는 데몬이 있음.

 

cat /var/log/spooler
- 프린터 포함 외부 출력장치. 
- spooler : 

      - HDD/SDD 와 프린터 사이의 속도차를 조정해줌. 

      - 하드가 전송한 정보들을 spooler에다 저장해두고 프린터가 읽어감.

{
[Memory(RAM)]

|- [swap] - (RAM 과 HDD의 속도차 조정)

[HDD/SDD] 

|- [spooler]

[프린터] - 안에 spooler 라는 메모리가 존재.
}

 

cat /var/log/boot.log
----->
[  OK  ] Started ~~~~~~networking ...
[  OK  ] Started ~~~~~~networking ...
[  OK  ] Started ~~~~~~networking ...
. . .
[  OK  ] Started ~~~~~~networking ...  --> 리눅스 부팅 시 화면을 그대로 기록해둠.
----------

---

Q1] 보안 및 승인(로그인/로그아웃)에 관한 메시지중에 critical 등급의 로그를 /var/log/secure2 보내라.
-->
authpriv.crit              /var/log/secure2 를 
vi /etc/rsyslog.conf 로 RULES 부분에 붙여넣고 저장하면 적용완료.


Q2] 모든 프로그램에서 발생하는 메시지 중에 warning 등급의 메시지를 /var/log/warning 에 기록하라.
-->
*.warning               /var/log/warning 를
vi /etc/rsyslog.conf 로 RULES 부분에 붙여놓고 저장하면 적용완료.

 

---

[ 로그 기록 주기 설정 ]

cat /etc/logrotate.conf
--->
# rotate log files weekly
weekly   <-- 주 단위로 로그를 기록시킴(daily, monthly도 가능.)

# keep 4 weeks worth of backlogs
rotate 4   <-- 4주까지의 로그 정보를 기록해둠.

# create new (empty) log files after rotating old ones.
create   <-- 순환주기에 다다르면 새로운 로그파일 생성.

# uncomment this if you want your log files compressed
#compress   <-- 주석처리를 풀면 로그파일의 용량을 줄이기 위해 로그파일을 gzip으로 자동압축.

# no packages own wtmp and btmp -- we'll rotate them here
/var/log/wtmp{
      monthly
      create 0664 root utmp
      minsize
      rotate 1
}
/var/log/btmp{
      missingok
      monthly
      create 0600 root utmp
      rotate
}
----------

 

---

** 로그파일 4대장 **
<utmp> :
- 현재 로그인한 사용자 상태 정보   <-- /var/run/utmp
<wtmp> :
- 성공한 로그인/로그아웃 정보 또는 시스템의 boot/shutdown
<btmp> :
- 실패한 로그인 정보를 담고 있는 로그 파일.
<lastlog> :
- 마지막으로 성공한 로그인 정보.

---

ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

!! rwx 권한이 탈취당할 경우 취약!!
공격자는 
-rwxr-xr-x 1 root root   4096 Feb  8 04:52 rsyslog.conf 를
-rw-rw-rw- 권한으로 바꾼다. --> 취약.

ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

 

 

---

[ 로그온 시 경고 메시지 제공 ]

vi /etc/motd : 로그온 경고 메시지 입력.

 

 

---

[ 동일한 UID 금지]

UID가 동일한 사용자 계정을 점검함으로서 타 사용자 계정 소유의 파일 및 디렉토리로 악의적 접근 금지
--> 중복된 UID가 존재할 경우, 시스템은 동일한 사용자로 인식하여 소유자의 권한이 중복된다.
--> 시스템 로그를 이용한 감사 추적 시 사용자가 구분되지 않음.
* 조치 방법 :
usermod -u <변경할 UID값> <user_name>

---

[ 사용자 shell 점검 ]

/etc/passwd 에서 사용자에는 쉘이 할당되어있지만 시스템 계정에는 쉘이 할당되어있지 않다.

---

[ Sessin Timeout ]

사용자의 고의 또는 실수로 시스템에 계정이 접속된 상태로 방치됨을 차단.

vi /etc/profile
-->
TMOUT=600

export TMOUT  --> 600초 후 자동 로그아웃설정. export는 실행명령.

----------