정보보안산업기사 실기 준비_ 시스템

시스템

1. 이벤트 로그

 

 1)응용프로그램 로그

  응용프로그램 관련 로그 저장. 응용프로그램에서 지정한 내용에 따라 저장됨.

  application.evtx 파일에 저장.  

 2)시스템 로그

  운영체제에서 장치 드라이버 오류, 서비스 오류 관련 로그를 저장.

  system.evtx 파일에 저장.

 

 3)보안 로그

  로그인 성공, 실패, 계정 추가, 삭제, 원격 접속 등의 로그 저장.

  security.evtx 파일에 저장.

2.버퍼 오버플로우 예방법

 

 1)스택 가드(카나리)

  변수와 복귀 주소 사이에 특정한 값을 넣어 함수 실행 후 값의 변경 여부에 따라 버퍼 오버플로우 확인.

 2)스택 쉴드

  복귀 주소 값을 전역 변수에 저장해 두었다가 함수 실행 후 복귀 주소를 비교하여 버퍼 오버플로우 확인.

 3)ASLR

  메모리의 주소를 함수 실행 시 마다 랜덤하게 배열 해 메모리 위치 찾기를 어렵게 함.

3.shadow 파일,passwd 파일

 

 pwconv 명령어는 passwd에서 사용중인 비밀번호 정책을 shadow파일로 옮겨 실행.

 반대로 pwunconv명령어를 통해 shadow에서 사용중인 정책을 passwd파일로 옮겨 실행.

shadow와 passwd파일의 구조 파악.

4.find 명령어

1) find / -type f -user root -perm -4000 : 소유자가 root이고 setuid가 걸린 파일을 찾는다.

 setuid가 걸린 파일은 소유자의 권한으로 실행되기 때문에 권한을 악용할 수 있다.

2) find / -type f -nouser -nogroup : 소유자와 소유그룹이 없는 파일을 찾는다.

소유자와 소유그룹이 없는 파일은 불필요한 자원을 낭비할 수 있다.

3) find / -type f -perm -2 : 기타  사용자에 쓰기 권한이 있는 파일을 찾는다.

 기타 사용자가 쓰기 권한이 있으면 악성코드를 작성할 수 있다.

5.PAM

 리눅스에서 사용하는 인증 라이브러리 모듈이다.

 이를 이용해 개발자는 인증 모듈을 따로 개발할 필요가 없다.

 /etc/pam.d : 라이브러리를 이용하는 서비스들의 설정 파일

 /lib/security : 라이브러리가 제공하는 인증모듈

 /etc/security : pam 모듈 실행 설정 파일

 /etc/securetty : root 계정 접근 제한을 위한 설정 파일

6.슈퍼 데몬

 xinetd데몬이 사용자의 서비스 요청을 받아 서비스를 불러옴.

 /etc/inetd.conf 파일은 데몬에서 제공되는 서비스의 설정 파일.

 xinetd데몬은 /etc/inetd.conf 파일을 참조해 서비스 불러옴.

7.tcp wrapper

 hosts.allow : 패킷의 출발지가 정의된 ip만 접근 허용하는 파일.

 hosts.deny : 패킷의 출발지가 정의된 ip는 접근 거부하는 파일.

 

8.tmp 시리즈

 utmp : 현재 로그인 중인 사용자의 정보를 담은 파일.

 w,who 명령어로 확인

 

 wtmp : 로그인,로그아웃 정보를 담은 파일, 부팅,재부팅 정보도 담고 있음.

 last 명령어로 확인

 btmp : 로그인 실패 정보를 담은 파일.

 lastb 명령어로 확인

 pacct : 로그인때 부터 로그아웃까지 사용했던 명령어 저장.

 accton /etc/account/pacct 명령어로 시작해야 된다.

 lastcomm 명령어로 확인

 lastlog : 최근에 로그인 성공한 기록 담은 파일.

 lastlog 명령어로 확인

 /var/log/secure : 사용자 생성/삭제,원격 접속,su 사용 등에 관한 내용

 /var/log/messages : 시스템 전반적 로그 관리

9.syslog

커널 및 응용프로그램이 발생시키는 로그 체계적 관리. 514/udp 

 syslogd를 이용해 로그를 기록.

 /etc/syslog.conf 파일을 참조해 syslogd가 로그를 기록.

 /etc/syslog.conf 파일에는 서비스에 대한 상황별로 기록 기준 설정.

/etc/syslog.conf 파일  

facility.priority    action

facility 서비스에 대해 priority 이상의 로그 발생시 action의 형식으로 로그 기록.

10.logrotate

 로그 저장 파일을 순환 형식으로 저장.

 /etc/logrotate.conf : logrotate 설정 파일.

 /usr/sbin/logrotate : logrotate 데몬 위치.

 /etc/logrotate.d : logrotate를 적용할 프로세스/데몬 설정 파일

 /etc/cron.daily/logrotate : cron설정 파일

 /etc/logrotate.conf 파일 옵션

 monthly,weekly,daily : 월단위, 주단위, 일단위 로그 파일 순환

 rotate n : n개의 파일로 순환.

 size 100m : 파일 사이즈가 100mb이면 파일 순환

 create 퍼미션 소유 그룹 : 퍼미션, 소유자, 소유그룹을 설정해 순환 파일 생성

 compress/uncompress : 파일 압축/비압축으로 보관

11.mactime

 find / -mtime -10 : 10일 내에 내용이 수정된 파일 찾기

 find / -atime -10 : 10일 내에 파일에 접근한 적 있는 파일 찾기

 find / -ctime -10 : 10일 내에 파일 속성이 수정된 파일 찾기

12.cron

 crontab -e : cron 설정 파일 열기

 crontab -l : cron 리스트 확인

 crontab -r : cron 삭제

  설정 파일

 분 시 일 월 요일 [실행 명령] 

 요일은 0이 일요일 6이 월요일.

 /n 설정으로 n분마다, 시간마다 반복 실행 설정