U-73(하) 정책에 따른 시스템 로깅 설정

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.

주요정보통신기반시설 취약점 Unix 점검 항목

■ 취약점 개요

○ 점검개요 : 내부 정책에 따른 시스템 로깅 설정 적용 여부 점검

○ 점검목적 : 보안 사고 발생 시 원인 파악 및 각종 침해 사실에 대한 확인

○ 보안위협 : 로깅 설정이 되어 있지 않을 경우 원인 규명이 어려우며, 법적 대응을 위한 충분한 증거로 사용할 수 없는 어려움 발생

○ 점검대상 : SOLARIS, LINUX, AIX, HP-UX 등

○ 판단기준

- 양호 : 로그 기록 정책이 정책에 따라 설정되어 수립되어 있으며 보안정책에 따라 로그를 남기고 있을 경우

- 취약 : 로그 기록 정책 미수립 또는, 정책에 따라 설정되어 있지 않거나 보안정책에 따라 로그를 남기고 있지 않을 경우

 

■ 점검방법

○ LINUX, AIX, HP-UX, SOLARIS

로그 기록 정책에 따른 syslog.conf 파일 설정 확인

 #cat /etc/syslog.conf

 

■ 조치방안

○ SOLARIS

Step 1	vi 편집기를 이용하여 “/etc/syslog.conf” 파일 열기 #vi /etc/syslog.conf
Step 2	아래와 같이 수정 또는, 신규 삽입 mail.debug /var/log/mail.log *.info /var/log/syslog.log *.alert /var/log/syslog.log *.alert /dev/console *.alert root *.emerg *
Step 3	위와 같이 설정 후 SYSLOG 데몬 재시작 ㆍSOLARIS 9 이하 버전 #ps -ef | grep syslogd root 7524 6970 0 Apr 23 - 0 : 02 /usr/sbin/syslogd #kill –HUP [PID] ㆍSOLARIS 10 이상 버전 #svcs -a | grep system-log online 16:23:03 svc:/system/system-log:default #svcadm disable svc:/system/system-log:default #svcadm enable svc:/system/system-log:default

○ LINUX

Step 1	vi 편집기를 이용하여 “/etc/syslog.conf” 파일 열기 #vi /etc/syslog.conf ※ CentOS 6.x 이상 버전의 로그파일명: rsyslog.conf
Step 2	아래와 같이 수정 또는, 신규 삽입 *.info;mail.none;authpriv.none;cron.none /var/log/messages authpriv.* /var/log/secure mail.* /var/log/maillog cron.* /var/log/cron *.alert /dev/console *.emerg *
Step 3	위와 같이 설정 후 SYSLOG 데몬 재시작 #ps -ef | grep syslogd root 7524 6970 0 Apr 23 - 0:02 /usr/sbin/syslogd #kill -HUP [PID]

○ AIX

Step 1	vi 편집기를 이용하여 “/etc/syslog.conf” 파일 열기 #vi /etc/syslog.conf
Step 2	아래와 같이 수정 또는, 신규 삽입 *.emerg * *.alert /dev/console *.alert /var/adm/alert.log * .err /var/adm/error.log mail.info /var/adm/mail.log auth.info /var/adm/auth.log daemon.info /var/adm/daemon.log *.emerg;*.alert;*.crit;*.err;*.warning;.notice;*.info /var/adm/messages
Step 3	위와 같이 설정 후 SYSLOG 데몬 재시작 #refresh -s syslogd 또는, #ps -ef |grep syslogd root 7524 6970 0 Apr 23 - 0 : 02 /usr/sbin/syslogd #kill -HUP [PID]

○ HP-UX

Step 1	vi 편집기를 이용하여 “/etc/syslog.conf” 파일 열기 #vi /etc/syslog.conf
Step 2	아래와 같이 수정 또는, 신규 삽입 *.notice /var/adm/syslog/syslog.log *.alert /dev/console *.emerg *
Step 3	위와 같이 설정 후 SYSLOG 데몬 재시작 #/sbin/init.d/syslogd start 또는, #ps -ef |grep syslogd root 7524 6970 0 Apr 23 - 0 : 02 /usr/sbin/syslogd #kill -HUP [PID]

 

■ 메시지 종류

메시지	설명
auth	로그인 등의 인증 프로그램 유형이 발생한 메시지
authpriv	개인 인증을 요구하는 프로그램 유형이 발생한 메시지
cron	cron, at 데몬에서 발생한 메시지
daemon	elnet, ftpd 등과 같은 데몬이 발생한 메시지
kern	커널이 발생한 메시지
Ipr	메일 시스템에서 발생한 메시지
mai	메일 시스템에서 발생한 메시지
news	유즈넷 뉴스 프로그램 유형이 발생한 메시지
syslog	syslog 프로그램 유형이 발생한 메시지
user	사용자 프로세스 관련 메시지
uucp	시스템이 발생한 메시지
local0	여분으로 남겨둔 유형
alert	즉각적으로 조치를 취해야 할 상황
crit	급한 상황은 아니지만, 치명적인 시스템 문제 발생 시
debug	프로그램 실행 오류 발생 시
emerg	매우 위험한 상황
err	에러 발생 시
info	단순한 프로그램에 대한 정보 메시지
notice	에러가 아닌 알림에 관한 메시지
warning	주의를 요하는 메시지

 

■ 조치 시 영향

위에 제시한 모든 로그를 설정할 경우, 시스템 퍼포먼스와 로그 저장에 따른 서버 용량 부족 문제가 발생할 수 있으므로 시스템 운영환경과 특성을 고려하여 적용

 

■ 감사 설정이 너무 높을 경우

○ 감사 설정이 너무 높으면 보안 로그에 불필요한 항목이 많이 기록되므로 매우 중요한 항목과 혼동할 수 있으며 시스템 성능에도 심각한 영향을 줄 수 있기 때문에 법적 요구 사항과 조직의 정책에 따라 필요한 로그를 남기도록 설정