콘텐츠로 이동

U-66: 정책에 따른 시스템 로깅 설정

분류: 01_unix

중요도: 중

개요

점검 내용

내부 정책에 따른 시스템 로깅 설정 여부 점검

점검 목적

보안 사고 발생 시 원인 파악 및 각종 침해 사실 확인을 하기 위함

보안 위협

로깅 설정이 되어 있지 않을 경우, 원인 규명이 어려우며 법적 대응을 위한 충분한 증거로 사용할 수 없는 위험이 존재함

참고

참고

감사 설정이 너무 높으면 보안 로그에 불필요한 항목이 많이 기록되어 매우 중요한 항목과 혼동할 수 있으며 시스템 성능에도 심각한 영향을 줄 수 있으므로 법적 요구 사항과 조직의 정책에 따라 필요한 로그를 남기도록 설정해야 함

점검 대상 및 판단 기준

대상

SOLARIS, LINUX, AIX, HP-UX 등

판단 기준

✅ 양호: 로그 기록 정책이 보안 정책에 따라 설정되어 수립되어 있으며, 로그를 남기고 있는 경우

❌ 취약: 로그 기록 정책 미수립 또는 정책에 따라 설정되어 있지 않거나, 로그를 남기고 있지 않은 경우

조치 방법

로그 기록 정책을 수립하고, 정책에 따라 (r)syslog.conf 파일을 설정

조치 시 영향

아래 제시한 모든 로그를 설정할 경우, 시스템 성능과 로그 저장에 따른 서버 용량 부족 문제가 발생할 수 있으므로 시스템 운영 환경과 특성을 고려하여 적용

점검 및 조치 사례

SOLARIS

syslog

  1. /etc/syslog.conf 파일 내에 설정된 로그 기록 정책 수정

  2. 설정 적용 및 재시작

    • 로그 설정 예시
    로그 로그 파일 경로
    mail.debug /var/log/mail.log
    *.info /var/log/syslog.log
    *.alert /var/log/syslog.log
    *.alert /dev/console
    *.alert root
    *.emerg * 
    # svcadm refresh svc:/system/system-log:default

rsyslog

  1. /etc/rsyslog.conf 파일 내에 설정된 로그 기록 정책 수정

    • 로그 설정 예시
    로그 로그 파일 경로
    *.info;mail.none;authpriv.none;cron.none /var/log/messages
    authpriv.* /var/log/auth.log
    mail.* /var/log/mail.log
    cron.* /var/log/cron.log
    alert.* /dev/console
    emerg.* *

  2. 설정 적용 및 재시작

    # svcadm resfresh svc:/system/system-log:rsyslog

LINUX

  1. /etc/rsyslog.conf 또는 /etc/rsyslog.d/default.conf 파일 내에 설정된 로그 기록 정책 수정

  2. 설정 적용 및 재시작

    # systemctl restart rsyslog

AIX

  1. /etc/syslog.conf 파일 내에 설정된 로그 기록 정책 수정

    • 로그 설정 예시
    로그 로그 파일 경로
    *.emerg *
    *.alert /dev/console
    *.alert /var/adm/alert.log
    *.err /var/adm/error.log
    mail.info /var/adm/mail.log
    auth.info /var/adm/auth.log
    daemon.info /var/adm/daemon.log
    .emerg;.alert;.crit;.err;.warning;.notice;*.info /var/adm/messages

    (참고: 리눅스 예시 데이터가 섞여 있어 AIX 표준 경로인 /var/adm/ 위주로 정리함)

  2. 설정 적용

    # refresh -s syslogd

HP-UX

  1. /etc/syslog.conf 파일 내에 설정된 로그 기록 정책 수정

    • 로그 설정 예시
    로그 로그 파일 경로
    *.emerg *
    *.alert /dev/console
    *.alert root
    *.err /var/adm/syslog/error.log
    mail.info /var/adm/syslog/mail.log
    auth.info /var/adm/syslog/auth.log
    .emerg;.alert;.crit;.err;.warning;.notice;*.info /var/adm/syslog/syslog.log

  2. SYSLOG 데몬 재시작

    # kill -1 <PID>

참고: syslog.conf 설정 가이드

[syslog.conf 파일 형식]

왼쪽 필드 (구분) 오른쪽 필드 (로그 파일 경로)
A.B
(예: A 서비스 데몬의 B 로그 레벨 이상)		 C
예시: mail.debug;cron.crit;auth.info /var/log/syslog.log

[오른쪽 필드(로그 파일 경로) 종류]

경로 형식 설명
/var/log/syslog.log 해당 파일에 로그를 기록
/dev/console 모니터 화면과 같은 지정된 콘솔로 메시지 출력
user 지정된 사용자의 화면에 메시지 출력
* 현재 로그인되어 있는 모든 사용자의 화면에 메시지 출력
@192.168.0.1 지정된 호스트로 로그 전송

[서비스 데몬 종류 (Facility)]

서비스 데몬 설명
auth 로그인 등의 인증 프로그램 유형에서 발행된 메시지
authpriv 개인 인증을 요구하는 프로그램 유형에서 발행된 메시지
cron cron, at 데몬에서 발행된 메시지
daemon Telnet, FTP 등 데몬에서 발행한 메시지
kern 커널에서 발행된 메시지
lpr 프린터 유형의 프로그램에서 발행된 메시지
mail 메일 시스템에서 발행된 메시지
news 유즈넷 뉴스 프로그램에서 발행된 메시지
syslog syslog 프로그램 유형에서 발행된 메시지
user 사용자 프로세스 관련 메시지
uucp uucp 시스템에서 발행된 메시지
local0 ~ local7 여분으로 남겨둔 유형

[메시지 우선 순위 등급 (Priority)]

등급 메시지 설명
4 (높음) Emergency[emerg] 매우 위험한 상황
Alert[alert] 즉각적인 조치를 해야 하는 상황
Critical[crit] 하드웨어 등의 심각한 오류가 발생한 상황
Error[err] 에러 발생 시
-1 Warning[warning] 주의를 요구하는 메시지
-2 Notice[notice] 에러가 아닌 알림에 관한 메시지
Information[info] 단순한 프로그램에 대한 정보 메시지
-3 (낮음) Debug[Debug] 프로그램 실행 오류 발생 시