[디지털포렌식] 2-2-7. Linux 기반 시스템

logrotate

- 로그 파일을 기록할 수 있는 볼륨이 크지 않아 자주 Disk Full 상황이 발생할 때 선택할 수 있는 도구

 

mod_security

- Apache 웹 서버의 보안을 강화하기 위한 웹 보안 프로그램

 

리눅스 시스템에서 사용할 수 있는 보안 도구

- 와이어샤크 : 네트워크 패킷 수집 및 분석, 패킷 스니핑과 프로토콜 분석 도구

- TCPWrapper : IP 접근 제어

- nmap : 네트워크 포트 스캔, 오픈 소스로 사용하기 용이, 가벼운 포트 스캐너 및 네트워크 분석 도구의 역할을 할 수 있는 프로그램

- netcat : 포트 스캔, 파일 전송, 커맨드 라인에서의 원격 네트워크 서비스의 상호작용 등 광범위한 용도를 위해 사용될 수 있음

- shadow password : /etc/passwd에서 password를 제거하고 /etc/shadow 파일에 암호화된 형태로 password를 저장

- tripwire : 파일에 대한 변경 여부를 알 수 있음

- lsof : 프로세서에 의해서 열린 파일 핸들의 목록을 보여줌

- john the ripper : 안전하지 않은 패스워드 검사

- samhain : 호스트 기반 침입 탐지

 

sticky bit

- chmod 1000 d1 과 같이 명령을 실행하여 d1 디렉토리에 대한 sticky bit를 설정

- sticky bit가 설정된 디렉토리에서는 모든 사용자가 파일을 읽을 수 있음

- sticky bit가 설정되는 디렉토리의 대표적 예는 /tmp

- other의 쓰기 권한에 대한 특별한 퍼미션

- 8진수 모드로는 1000으로 설정되고, 심볼릭 모드로는 t 또는 T로 설정됨

 

syslog

- 에릭 올맨이 처음 제작

- 메시지의 출처, 중요도에 따라 구분할 수 있고 여러 목적지로 전달 가능

- 로그를 중앙에 수집하여 관리할 수 있도록 하는 종합적인 로그 기록 시스템

 

리눅스의 로그 파일

- utmp/utmpx 파일 : 현재 시스템에 로그인한 사용자 정보 저장

- secure 파일 : 일반적으로 inetd 서버가 제공하는 네트워크 서비스에 대한 

 

SetUID 공격에 대한 대응 방안

- 디렉터리 혹은 파일을 생성할 때 Sticky Bit를 부여

- md5sum이나 tripwire같은 파일 시스템 무결성 검사 도구를 이용해서 관리

- 초기 상태의 SetUID 파일과 점검할 때 SetUID 파일을 검색해서 그 결과를 diff 명령을 이용해서 비교해봄

 

리눅스 시스템에서 변조된 파일을 분석하는 방법

- 시스템 콜 추적

- 파일 크기 및 시간 속성 확인

- 무결성 검사

 

리눅스 시스템 로그 파일에 대한 설명

- /var/log/dmesg : 리눅스가 부팅될 때 출력되는 모든 메세지 기록

- /var/log/cron : cron에 의한 시스템의 정기적인 작업에 대한 로그 기록

- var/log/messages : 리눅스 시스템의 가장 기본적인 시스템 로그 파일로서 시스템 운영에 대한 전반적인 메시지를 저장

 

리눅스의 디렉토리

- / : 최상위 디렉토리로써 루트 디렉토리라 하며 모든 디렉토리는 루트 디렉토리를 기준으로 위치

- /bin : ls, cp와 같은 기본 명령어가 저장되어 있음

- /boot : 시스템이 부팅하기 위하여 필요한 파일이 저장

 

tail -f /var/log/secure

- 리눅스 로그관리 중 로그 모니터링 시 실시간으로 지속 모니터링 하는 명령어 및 경로