정보보호 개론 - 운영체제의 로그 관리

 

운영체제의 로그 관리

 

윈도우 (Window)

윈도우의 감사 정책(Audit Policy) 에 의해 이벤트(Event)라고 불리는 중앙 집중화된 형태의 로그를 수집하여 저장한다.

한 곳에 모이기 때문에 일괄적으로 확인과 관리가 용이하지만 반대로 말하자면, 원격 등으로 로그를 한번에 날려버려 책임 추적 같은 것을 할 수 없는 상황이 발생할 수 있다.

 

윈도우 감사 정책(Audit Policy)

 

1. 개체 액세스 감사

특정 파일이나 디렉터리, 레지스트리 키, 프린터 등과 같은 객체에 대해 접근을 시도하거나 속성 변경 등을 탐지

 

2. 계정 관리 감사

신규사용자/그룹 추가, 기존 사용자/그룹 변경, 사용자 활성화/비활성화, 계정 패스워드 변경 등을 감사

 

3. 계정 로그인 이벤트 감사

로그온 이벤트 감사와 마찬가지로 계정의 로그인에 대한 사항을 로그로 남기는데, 이 둘의 차이점은 전자는 도메인 계정의 사용으로 생성되고 후자는 로컬 계정의 사용으로 생성된다는 것!

 

4. 권한 사용 감사

권한 설정 변경이나 관리자 권한이 필요한 작업을 수행할 때 로깅

 

5. 로그인 이벤트 감사

로컬 계정의 접근 시 생성되는 이벤트를 감사. 계정 로그온 이벤트 감사에 비해 다양한 종류의 이벤트 확인 가능.

 

6. 디렉터리 서비스 엑세스 감사

시스템 엑세스 제어목록(SACL)이 지정되어 있는 액티브 디렉터리 개체에 접근하는 사용자에 대한 감사

 

7. 정책 변경 감사

사용자 권한 할당 정책, 감사 정책, 신뢰 정책의 변경과 관련된 사항을 로깅

 

8. 프로세스 추적 감사

사용자 또는 응용프로그램이 프로세스를 시작하거나 중지할 때 이벤트가 발생

 

9. 시스템 이벤트

시스템의 시작과 종료, 보안 로그 삭제 등 시스템의 주요한 사항에 대한 이벤트를 로깅

---

유닉스 (UNIX)

윈도우와는 달리 다양한 곳에 다양한 로그가 로깅되어 존재한다.

 

유닉스 시스템의 로그 저장 위치는 ?

/usr/adm (초기 유닉스) : 데이터베이스 객체에 권한을 부여

/var/adm (최근 유닉스) : 솔라리스, HP-UX 10.x 이후, IBM AIX

/var/log : FreeBSD, 솔라리스(/var/adm과 나누어 저장), 리눅스

/var/run : 일부 리눅스

 

1. UTMP

유닉스 시스템의 가장 기본적인 로그는 로그인 계정 이름, 환경(initad id), 디바이스(console, tty 등), 셸의 프로세스 ID, 계정의 형식, 로그오프 여부, 시간에 대한 저장 구조(structure) 등 이다.

텍스트가 아닌 바이너리 형식으로 저장되기 때문에 직접 볼 수 없다는 특징이 있으며 w, who, users, whodo, finger 등의 명령어를 사용하여 확인 가능하다.

 

2. WTMP

UTMP 데몬과 비슷하게 사용자 로그인과 로그아웃, 시스템 재부팅에 대한 정보를 확인 가능하나 마찬가지로 바이너리로 되어있으며, last 명령어를 주로 사용한다.

 

3. Secure

페도라, CentOS, 레드햇 등의 리눅스 secure 파일에 원격지 접속 로그, su, 사용자 생성 등과 같이 보안에 직접적으로 연관된 로그를 저장하며 sulog 라고 부른다. (/var/adm/sulog 파일에 텍스트 형식으로 로깅되며 구조는 아래와 같다)

[날짜] [시간] [+(성공) or -(실패)] [터미널 종료] [권한 변경 전 계정 - 변경 후 계정]

 

4. History

명령창에서 실행한 명령에 대한 기록

 

5. Syslog

시스템 운영과 관련된 전반적인 로그로, 하드웨어 구동, 서비스 동작과 에러 등의 로그를 남기고 /var/log/messages 위치에 텍스트 형식으로 저장된다.