서버 관리자의 업무

시스템 시작/종료

$ shutdown -r now # 지금 즉시 시스템 재부팅
$ shutdown -h now # 지금 즉시 시스템 종료
$ half # 강제 종료
$ reboot # 강제 재부팅

사용자 계정 관리

  • 원격 접근권한 제거
    • /etc/passwd 파일에서 /bin/bash 와 같은 셸 삭제
  • 계정 사용기간 설정
    • /etc/shadow 파일에서 사용기간 또는 만료일 설정

자원 관리

네트워크 관리

명령어 설명
ifconfig 통신 디바이스(NIC) 상태
netstat -an 현 시스템에서 사용되는 통신 서비스의 상태
top 시스템 자원(CPU, memory 등)의 사용현황
ps -elf(-aux) 현 시스템에서 수행 중인 프로그램과 데몬 상태
snoop 패킷을 캡처하여 분석
nslookup 도메인에 대한 IP 정보 및 도메인 네임과 관련된 여러 검색
inetd 네트워크 슈퍼데몬인 inetd를 실행

윈도우 로그

  • 이벤트(Event)라는 중앙 집권화된 로그를 수집하여 저장
  • 관리는 편하나 보안수준이 낮음

이벤트 로그 종류

  • 응용 프로그램 로그(AppEvent.Evt)
    • 응용 프로그램이 기록한 다양한 이벤트
    • 소프트웨어 개발자에 의해 결정
  • 보안 로그(SecEvent.Evt)
    • 로그인 시도, 리소스 사용에 관련된 이벤트 기록
  • 시스템 로그(SysEvent.Evt)
    • Windows 시스템 구성요소가 기록하는 이벤트
    • 구성요소의 오류를 이벤트에 기록
  • 그 외
    • 디렉터리 서비스 로그, 파일 복제 서비스 로그,DNS 서버 로그 등

이벤트 로그 파일은 %Windows%\system32\config 폴더에 위치

바이너리 형식이므로 별도의 프로그램 필요

감사 정책

어떤 로그를 남길지를 정의한 규칙

설정 경로: [제어판]-[관리 도구]-[로컬 보안 정책]-[로컬 정책]-[감사 정책]

이벤트 로그 설명
개체 액세스 감사 객체(특정 파일이나 디렉터리, 프린터 등)에 대한 접근 시도, 속성 변경 등 로그
계정 관리 감사 사용자 관련 설정 변경 로그를 탐지
계정 로그인 이벤트 감사 도메인 계정의 로그인에 대한 사항을 로그에 남김
권한 사용 감사 권한 설정 변경이나 관리자 권한이 필요한 작업을 수행할 때 로그에 남김
로그인 이벤트 감사 로컬 계정 접근 시 생성되는 이벤트를 감사
디렉터리 서비스 액세스 감사 액티브 디렉터리 개체에 접근하는 사용자에 대한 감사 로그
정책 변경 감사 사용자 권한 할당 정책, 감사 정책 또는 신뢰 정책의 변경과 관련된 사항을 로그에 남김
프로세스 추적 감사 프로세스를 시작하거나 중지할 때 해당 이벤트 발생
시스템 이벤트 감사 시스템의 시동과 종료, 보안 로그 삭제 등 시스템의 주요한 사항에 대한 이벤트를 남김

유닉스/리눅스 로그

  • 로그를 여러 곳에 저장
  • 모두 파악하고 관리하기 어려움
  • 다양한 로그들의 분석으로 공격자 추적 가능

로그 종류

로그 설명
utmp 현재 시스템에 로그인한 사용자의 상태를 출력
wtmp 사용자의 로그인/로그아웃, 시스템 종료/부팅 정보를 저장
sulog su 명령어(계정 변경)에 대한 로그. 텍스트 형태로 저장
lastlog 각 사용자의 최근(마지막) 로그인 시각
acct/pacct 시스템에 로그인한 모든 사용자가 수행한 프로그램에 대한 정보를 저장
history 사용자별로 실행한 명령을 기록하는 로그. 텍스트 형태로 저장
btmp(Linux) 실패한 로그인 시도에 대한 로그
loginlog(Unix) 5회 이상 실패한 로그인 시도에 대한 로그
dmesg 부팅될 때 출력되는 모든 메시지를 기록
secure 원격 로그인 정보를 기록, TCP_WRAPPER(xinetd)의 접속제어에 관한 로그
messages 시스템 운영에 대한 전반적인 메시지를 저장

시스템 로그

  • 유닉스에서는 syslog에 의해 로그를 생성하고 관리
    • /etc/syslog.conf
  • syslogd
    • OS에 의해 자동 실행
    • 어떤 로그를 어디에 남길지 결정
  • 최근 리눅스는 기존 syslog를 개선한 rsyslog를 사용

설정 파일

facility.priority action(logfile-location)

facility에 대하여 priority의 경우에 해당하는 상황이 발생 시 logfile-location 파일에 기록

항목 도메인
facility *(모든 서비스), auth, authpriv(xinetd, telnet 등), cron, ftp, kern, lpr, mail, ntp, security, syslog
priority Emergency, Alert, Critical, Error, Warning, Notice, Info, Debug
action 로그를 어디에 남길지 결정
logfile-location 터미널/콘솔(/dev/console), 원격 로그 서버(@호스트주소), user(지정한 사용자 스크린), *(현재 로그인된 사용자)

웹 서버 로그

IIS 웹 서버 로그

  • 기본 W3C 형식
  • 주요 필드
    • date, time : 사용자가 페이지에 접속한 날짜와 시간
    • c-ip: 웹 페이지에 접속한 사용자 IP
    • cs-username : 웹 페이지에 접속한 사용자 계정
    • s-computername : 웹 서버 이름
    • s-ip,s-port: 웹 서버 IP, 웹 서버 포트
    • cs-method: HTTP 메소드
    • cs-url-stem: 요청 페이지
    • cs-url-query: 요청 파라미터
    • sc-status : 응답 코드

Apache 웹 서버 로그

  • access log: 클라이언트의 요청에 의해 웹 서버가 응답한 내용에 대한 로그
  • error log: 클라이언트의 요청에 의해 웹 서버에 오류가 발생한 내용에 대한 로그

크래킹 S/W

크래킹이란 악의적인 목적을 가지고 시스템에 침임하는 행위이다.

  • John the Ripper: 패스워드 점검도구로 유명한 프로그램
  • pwdump: 윈도우에서 패스워드를 덤프하기 위한 프로그램
  • L0phtCrack: 패스워드 취약점 점검도구
  • ipccrack: 패스워드를 원격지에서 추측하여 취약점을 점검하는 프로그램
  • chntpw: 물리적으로 접근이 가능한 시스템에서 패스워드를 리셋시키는 프로그램
  • ERD Commander: 윈도우에서 패스워드를 복구하는 프로그램
  • 키로거(Keylogger): 키보드로 입력한 정보를 로그로 남겨 실기간으로/정해진 시간에 공격자에게 전송

서버보안용 S/W

  • SATAN
    • 시스템 보안상의 약점을 찾아 보완할 수 있는 네트워크 분석용 보안 관리 도구
  • SARA (UNIX)
    • SATAN 기반
    • HTML 형식의 보고서 기능
  • SAINT (UNIX)
    • HTML 형식의 보고서 기능
    • 원격에서 취약점을 점검하는 기능 포함
  • COPS (UNIX)
    • 시스템 내부에 존재하는 취약점 점검
    • 취약한 PW를 점검
  • Nessus (대부분 OS)
    • 클라이언트-서버 구조
    • 클라이언트의 취약점을 점검하는 기능
    • GUI 인터페이스
    • 다양한 포맷으로 결과 저장
  • nmap
    • 포트 스캐닝 도구

무결성 점검 도구

정상적인 상태의 디렉터리 및 파일 정보를 백업해두어 이전 정보와 현재 정보를 비교

  • tripwire, MD5, Fcheck, AIDE 등

스캔 탐지 도구

  • mscan
    • 메인 전체를 스캔하여 최근 많이 이용되는 주요 취약점을 한 번에 스캔
  • sscan
    • 네트워크를 통해 취약점 점검을 수행할 수 있는 도구
  • portsentry
    • 실시간으로 포트 스캔을 탐지하고 대응하기 위한 프로그램
    • 공격 호스트를 경유하여 오는 모든 트래픽을 자동 재구성하는 기능

침입탐지 및 방화벽

  • Snort
    • 실시간 트래픽 분석, IP 네트워크에서의 패킷 처리를 담당하는 IDS
    • 버퍼오버플로우, stelth 포트 스캔, CGI 공격, SMB 프로브, OS 핑거프린팅 등 공격 감지
  • IPchain / IPtable
    • 패킷 필터링 방화벽
    • 인바운드, 아웃바운드 규칙 설정 가능