5. 패치 및 로그관리
29. syslog 설정
가. 상세 설명
기본적으로 시스템 운영 중 발생하는 Info 및 alert등에 대한 기록을 남기기 위한 "syslog.co" 파일의 보안 설정이 되었는지 점검한다. syslog 데몬은 시스템의 로그를 기록하는 전용 데몬으로 원격 또는 로컬 시스템의 커널메시지 및 시스템 로그를 감시하는 역할을 한다. 이 설정이 제대로 되어 있지 않을 경우 적절한 로그가 시스템 로그파일에서 남지 않아 침입자의 흔적이나 시스템 오류사항에 대해 분석을 할 수 없다.
나. 진단기준
양호 : syslog에 중요 로그 정보에 대한 설정이 되어 있을 경우
취약 : syslog에 중요 로그 정보에 대한 설정이 되어 있지 않은 경우
<XenServer>
■ /etc/syslog.conf 파일을 점검하여, info, alert 등에 대한 로그파일 설정을 확인
1) # cat /etc/syslog.conf | grep "info|alert|notice|debug|warn|error" | egrep "varjlog"
<XenCenter>
■ syslog 설정 확인
1) XenCenter에서 [XenServer]를 선택한 후 [Logs] 메뉴에서 로그를 확인
2) XenCenter의 메뉴에서 [Help]를 선택한 후 [View Application Log files] 메뉴에서 로그를 확인
라. 조치방안
<XenServer>
■ XenServer 로그 파일 설정
1) /etc/syslog.conf 파일을 점검하여, info, alert 등에 대한 로그파일을 설정
# vi /etc/syslog.conf
*.notice /var/log/messages
*.emerg *
*.alert /dev/console
# Set info,warn,error to log to syslog by default
info;audit;syslog:local6
warn;;syslog:xapi
error;;syslog:xapi
# Also print everything (debug<->error) into xensource.log for easier debugging
debug;;file:/var/log/xensource.log
info;;file:/var/log/xensource.log
warn;;file:/var/log/xensource.log
error;;file:/var/log/xensource.log
2) "syslog,conf"파일을 수정한 후에는 이것이 적용되도록 다음의 명령을 사용하여 syslogd restart
# /etc/rc.d/init.d/syslog restart
마. 참고사항
■ 버전 7, 8으I 경우 "/etc/rsyslog.conf" 파일에서 확인 및 설정
'보안 공부 > 클라우드 보안' 카테고리의 다른 글
| [클라우드 취약점 진단-XenServer] 31. 로깅 수준 설정 (0) | 2022.04.25 |
|---|---|
| [클라우드 취약점 진단-XenServer] 30. syslog 전송 포트 차단 (0) | 2022.04.22 |
| [클라우드 취약점 진단-XenServer] 28. SU 로그 설정 (0) | 2022.04.21 |
| [클라우드 취약점 진단-XenServer] 27. Guest VM 네트워크 분리 (0) | 2022.04.20 |
| [클라우드 취약점 진단-XenServer] 26. Remote Shell 접근 제어 (0) | 2022.04.19 |