Linux에서는 /var/log 디렉터리에 다양한 로그 파일들이 저장되며, 이를 주기적으로 모니터링하고 분석하여 시스템을 안정화하고 보안을 강화할 수 있습니다.
점검 내용
- 로그의 정기적 검토 및 보고 여부 점검
점검 목적
- 정기적인 로그 점검을 통해 안정적인 시스템 상태 유지 및 외부 공격 여부를 파악하기 위함
보안 위협
- 로그의 검토 및 보고 절차가 없는 경우 외부 침입 시도에 대한 식별이 누락될 수 있고, 침입 시도가 의심되는 사례 발견 시 관련 자료를 분석하여 해당 장비에 대한 접근을 차단하는 등의 추가 조치가 어려움
점검 대상
- Linux : Rocky 9
판단 기준
- 양호 : 접속기록 등의 보안 로그, 응용 프로그램 및 시스템 로그 기록에 대해 정기적으로 검토, 분석, 리포트 작성 및 보고 등의 조치가 이루어지는 경우
- 취약 : 위 로그 기록에 대해 정기적으로 검토, 분석, 리포트 작성 및 보고 등의 조치가 이루어 지지 않는 경우
조치 방법
- 정기적인 로그 검토 및 분석 주기 수립
- utmp, wtmp ,btmp 등의 로그를 확인하여 마지막 로그인 시간, 접속 IP, 실패한 이력 등을 확인하여 계정 탈취 공격 및 시스템 해킹 여부를 검토
- su log를 확인하여 허용된 계정 외에 su 명령어를 통해 권한상승을 시도하였는지 검토
- xferlog를 확인하여 비인가자의 ftp 접근 여부를 검토
- 로그 분석에 대한 결과 보고서 작성
- 로그 분석 결과보고서 보고 체계 수립
| ◁ 최신 보안패치 및 벤더 권고사항 적용 | | | 정책에 따른 시스템 로깅 설정 ▷ |
|---|