보안 로그 ,리눅스 로그 공부

공부 기록용입니다

보안관제란 ?

---

24시간 365일 보안 모니터링을 통해 사전 침해 예방을 하는것

컴퓨터 기술의 발전과 함께 증가한 컴츄터 범죄로 정보보안의 필요성이 대두되고있다.

사이버 침해 대응 절차에서 로그 분석이 중요하다

 

로그란 ? 컴퓨터 등에 접속한 기록이 컴퓨터 내에 남아있는 것

 

 

리눅스 로그 파일

---

리눅스의 로그 파일은 주로 text 형태로 저장된다 (사람이 읽을 수 있는 형태)

윈도우의 로그 파일은 주로 바이너리 형태로 저장되기 때문에 읽기 위한 Viewer 나 Parser 가 있어야한다.

 

리눅스의 로그는 대부분 /var/log 에 저장된다.

/etc/syslog.conf 를 수정하면 로그 저장 방식을 바꿀 수 있다고 한다.

 

리눅스의 가장 대표적인 로그 파일은

/var/log/messages 이다  메일에 관한 내용, 시스템 변경사항 관한 정보가 들어있다

관리자에게 가장 중요하게 다뤄지는 로그이지만 중요도에 비해 보안의 관점에서 얻을 수 있는 유용한 정보는 많이 없다고 한다.

/var/log/messages 실행상태

 

다음은 크론 로그 파일이다 /var/log/cron

크론은 스케줄러와 같은 역할을 하는데 만약 공격자가 pc를 좀비 피시로 만든 후 일정 시간마다 악성 프로그램을 실행하고자 한다면 스케줄러에 등록을 해놓게 될 수 있기 때문에 크론로그를 확인하는 것은 중요하다

crontab -e 를 사용해서 예약 리스트를 편집할 수 있다. 이 명령어를 통해서 수정된 스케줄만 크론 로그에 등록되게 된다

/var/log/cron 에 기록, 우분투,데비안에서는 /var/log/syslog 에 기록된다.

 

syslog 안의 cron 내용 확인

부팅로그 - /var/log/dmesg

머신 실행시 검은 바탕에 하얀색으로 글씨가 주루룩 나오는것을 본 적이 있을것이다. 그것은 dmesg 에 기록되어있는 내용 !

 

사용자들의 로그인/로그아웃 정보가 들어있는 /var/log/wtmp

바이너리 파일이기 때문에 별도의 프로그램이 필요하다 우분투에서는 last 를 기본적으로 제공해 사용할 수 있다

last 명령어 사용 모습

 

현재 접속중인 사용자, 마지막 접속시간 등을 확인할 수 있다. 계속 접속중인 사람은 still logged in 로 표현되어 있음 

 

현재 시스템에 로그인한 사용자 상태 정보 : /var/log/utmp

이 로그도 바이너리 파일이기 때문에 특정 명령어를 사용해서 확인해야한다

w,who,finger 등을 사용해서 확인이 가능하다

 

 

리눅스 웹 로그 분석

---

아파치 웹 로그는 /etc/apache2/apache2.conf 의 로그 포맷 형식에 따라 결정된다

파일을 까보면 이렇게 %00 형태로 되어있는 것을 확인할 수 있는데 

항목	설명
%h	원격지 호스트,접속한 클라이언트 IP
%l	원격지 사용자 이름
%u	인증이 요청된 원격 사용자 이름
%t	요청한 날짜와 시간
%r	HTTP 메서드를 포함한 요청의 첫 라인
%s	HTTP 상태코드 %>s를 사용하면 리다이렉션 발생 시 최종 상태코드를 포함
%b	HTTP헤더를 제외하고 전송된 바이트
%{Referer}i	요청된 URL 이 참조되거나 링크된 URL
%{User-Agent}i	원격지 호스트 브라우저 정보

 

파일 업로드 경호 파악 

grep -i "file_upload.php" access.log 

이때 로그 파일의 경로에 들어가 있어야함

 

웹로그 분석하기 

awk '{print $1,$7}' access.log.1 | more 

access.log.1의 1열과 7열을 출력하게된다 awk 은 열을 출력하는 ? 그런 명령어인듯

1열의 IP 와 7열의 정보를 확인할 수 있다.