esxi 서버 보안취약점 조치 - 로그관리

1. su 명령어에 대한 로그 설정

 - 취약점 : /var/log/secure 파일이 존재하면 양호

 - 점검방법 : /var/log/secure 파일이 존재하는지 확인

 - 조치사항 

1)  sulog 또는 secure 파일에서 설정을 변경한다

 # vi /etc/default/su

SULOG=/var/log/sulog -> 주석(#) 제거 

 

또는

 

# vi /etc/syslog.conf

authpriv.* /var/log/secure -> 주석(#) 제거

 

2) syslogd를 재시작

# service syslog restart(또는 stop 후 start) - rhel 6 ver

# systemctl restart rsyslog(또는 stop 후 start) - rhel 7 ver

 

: auth.* -> 보안 및 인증관련(패스워드 변경, 계정의 세션 연결 및 해제)

: auth*priv.* -> 개인적 보안 및 인증 관련(패스워드 인증 성공/실패, 계정 추가 / 변경/삭제)

 

2. 시스템 로그 관리

 - 취약점 : 시스템의 접속 로그가 관리되지 않을 경우 침해사고 발생시 분석이 안됨

               : 시스템 로그 관리 기준에 따른 최소한의 로그관리가 되는지 확인

 - 점검방법 : 시스템 로그 관리 기준에 따른 로그 관리가 이루어지는지 점검

                   : 최소한 접속시간, 접속ip, 접속id는 표시

 - 조치사항 : 서버 OS 종류에 따라 로그 관리가 되도록 설정을 한다

 

3. 로그 기록 별도 백업

 - 취약점 : 서버의 침해 사고 발생시 root 권한 획득 후 시스템 로그 등을 삭제하여 사고 분석을 못하는 경우를 방지

 - 점검방법 : 서버의 로그 기록이 별도의 장비 또는 서버에 백업이 되는지 점검

 - 조치사항 : 로그 백업 수행