주요정보통신기반시설가이드/LINUX 취약점 점검
[U-72(하)] 5. 로그 관리 > 5.2 정책에 따른 시스템 로깅 설정
JITSU
2025. 5. 6. 09:11
작업 환경
- VMware Workstation Pro (17.6.2 ver)
- Server
- Rocky_Linux(8.10 ver) : NAT
| U-72 (하) | 5. 로그 관리 > 5.2 정책에 따른 시스템 로깅 설정 |
| 취약점 개요 | |
| 점검 내용 | 내부 정책에 따른 시스템 로깅 설정 적용 여부 점검 |
| 점검 목적 | 보안 사고 발생 시 원인 파악 및 각종 침해 사실에 대한 확인을 하기 위함 |
| 보안 위협 | 로깅 설정이 되어 있지 않을 경우 원인 규명이 어려우며, 법적 대응을 위한 충분한 증거로 사용할 수 없음 |
| 판단 기준 |
양호 : 로그 기록 정책이 정책에 따라 설정되어 수립되어 있으며 보안정책에 따라 로그를 남기고 있을 경우 취약 : 로그 기록 정책 미수립 또는 정책에 따라 설정되어 있지 않거나, 보안정책에 따라 로그를 남기고 있지 않을 경우 |
| 참고 | 감사 설정이 너무 높으면 보안 로그에 불필요한 항목이 많이 기록되므로 매우 중요한 항목과 혼동할 수 있으며 시스템 성능에도 심각한 영향을 줄 수 있기 때문에 법적 요구 사항과 조직의 정책에 따라 필요한 로그를 남기도록 설정하여야 함 |
LINUX
- Step 1) vi 편집기를 이용하여 “/etc/syslog.conf” 파일 열기
- vi /etc/syslog.conf
- ※ CentOS 6.x 이상 버전의 로그파일명: rsyslog.conf
- Step 2) 아래와 같이 수정 또는, 신규 삽입
- cat /etc/mail/access
*.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
mail.* /var/log/maillog
cron.* /var/log/cron
*.alert /dev/console
*.emerg *
- Step 3) 위와 같이 설정 후 SYSLOG 데몬 재시작
- ps –ef | grep syslogd
- kill -HUP [PID]
참고
📌 syslog.conf 파일 형식
| 구분 | 왼쪽 필드 | 오른쪽 필드 |
| 형식 | A.B | C |
| 예시 | mail.debug;cron.crit;auth.info | /var/log/syslog.log |
| 설명 | A서비스 데몬의 B 로그레벨 이상 | C 형식으로 로그를 남김 |
[오른쪽필드의 로그 형식 종류]
- /var/log/syslog.log → 해당 파일에 로그를 기록
- dev/console → 모니터 화면과 같은 지정된 콘솔로 메시지 출력
- user → 지정된 사용자의 화면에 메시지 출력
- * → 현재 로그인되어 있는 모든 사용자의 화면에 메시지 출력
- @192.168.0.1 → 지정된 호스트로 로그 전송
📌 서비스 데몬의 종류
| 서비스 데몬 종류 | |
| 메시지 | 설명 |
| auth | 로그인 등의 인증 프로그램에서 발생한 메시지 (예: 로그인 시도) |
| authpriv | 개인 인증을 요구하는 프로그램에서 발생한 메시지 (예: sudo, su 등) |
| cron | cron, at 등 작업 스케줄 데몬에서 발생한 메시지 |
| daemon | 일반 데몬 서비스 (예: telnet, ftpd 등)에서 발생한 메시지 |
| kern | 커널에서 발생한 메시지 (예: 시스템 콜 오류, 하드웨어 알림 등) |
| lpr | 프린터 관련 프로그램에서 발생한 메시지 |
| 메일 시스템 (예: postfix, sendmail 등)에서 발생한 메시지 | |
| news | 유즈넷 뉴스 관련 프로그램에서 발생한 메시지 |
| syslog | syslog 시스템 자체에서 발생한 메시지 (자기 자신 포함) |
| user | 일반 사용자 프로세스에서 발생한 메시지 |
| uucp | 유닉스 간 통신 관련 메시지 (UUCP – 파일 전송 프로토콜) |
| local0 | 관리자가 커스터마이징하여 사용할 수 있는 메시지 채널 (local1~local7도 존재) |
📌 메시지 우선 순위
| 메시지 우선 순위 | ||
| 등급 | 메시지(Level) | 설명 |
| 4 (높음) | Emergency (emerg) | 매우 위험한 상황 – 시스템 전체 사용 불가 수준 |
| 3 | Alert (alert) | 즉시 조치가 필요한 상황 |
| 2 | Critical (crit) | 심각한 오류 – 하드웨어 또는 핵심 서비스 오류 |
| 1 | Error (err) | 일반적인 에러 발생 |
| 0 | Warning (warning) | 경고 – 주의가 필요한 상황 |
| -1 | Notice (notice) | 정상 동작이지만 주목할만한 정보 |
| -2 | Information (info) | 단순 정보 메시지 |
| -3 (낮음) | Debug (debug) | 디버깅용 메시지 – 프로그램 실행 흐름 추적용 |