[Unix 서버] 로그의 정기적 검토 및 보고

 

 

U-43 로그의 정기적 검토 및 보고

 

■ 점검영역 : 로그 관리

 

■ 항목 중요도 : 상

 

■ 점검내용

 

로그의 정기적 검토 및 보고 여부 점검

 

■ 점검목적

 

정기적인 로그 점검을 통해 안정적인 시스템 상태 유지 및 외부 공격 여부를 파악하기 위함

 

■ 보안위협

 

로그의 검토 및 보고 절차가 없는 경우 외부 침입 시도에 대한 식별이 누락 될 수 있고, 침입 시도가 의심되는 사례 발견 시 관련 자료를 분석하여 해당 장비에 대한 접근을 차단하는 등의 추가 조치가 어려움

 

■ 참고

 

시스템 접속 기록, 계정 관리 로그 등  점검 항목에서 설정한 보안 로그를 포함하여 응용 프로그램, 시스템 로그 기록에 대하여 주기적인 검토 및 보고가 필요함

 

 

점검대상 및 판단기준

 

■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등

 

양호

접속기록 등의 보안 로그, 응용 프로그램 및 시스템 로그 기록에 대해 정기적으로 검토, 분석, 리포트 작성 및 보고 등의 조치가 이루어지는 경우

 

취약

위 로그 기록에 대해 정기적으로 검토, 분석, 리포트 작성 및 보고 등의 조치가 이루어 지지 않는 경우

 

■ 조치방법

 

로그 기록 검토 및 분석을 시행하여 리포트를 작성하고 정기적으로 보고함

 

 

점검 방법

 

■ OS별 점검 파일 위치 및 점검 방법

 

SOLARIS, LINUX, AIX, HP-UX

로그 분석 계획 수립 여부 및 로그 분석 결과에 따른 점검

 

■ SOLARIS, LINUX, AIX, HP-UX

 

정기적인 로그 분석을 위하여 아래와 같은 절차 수립

Step 1) 정기적인 로그 검토 및 분석 주기 수립
1. utmp, wtmp ,btmp 등의 로그를 확인하여 마지막 로그인 시간, 접속 IP, 실패한 이력 등을 확인하여 계정 탈취 공격 및 시스템 해킹 여부를 검토
2. sulog를 확인하여 허용된 계정 외에 su 명령어를 통해 권한상승을 시도하였는지 검토
3. xferlog를 확인하여 비인가자의 ftp 접근 여부를 검토

Step 2) 로그 분석에 대한 결과 보고서 작성

Step 3) 로그 분석 결과보고서 보고 체계 수립

 

■ 조치 시 영향 : 일반적인 경우 영향 없음