클라우드 취약점 점검 가이드 - 패치 및 로그관리, 마무리

패치 및 로그관리

XE-28. SU 로그 설정

일반 사용자에서 Super User로 사용되는 기록을 남기기 위해 Su 사용로그를 남기도록 하는 보안 설정이 필요 (취약도 상)

진단 : 파일 확인 # cat /etc/ssh/syslog.conf | grep authpriv.*

조치 : 파일 설정 변경

1) # vi /etc/syslog.conf 

# authpriv.* /var/log/secure

2) # /etc/rc.d/init.d/syslog restart

 

XE-29. syslog 설정

syslog 데몬이란? syslog 데몬은 시스템의 로그를 기록하는 전용 데몬, 원격 또는 로컬 시스템의 커널메시지 및 시스템 로그를 감시

"syslog.co" 파일의 보안 설정이 되었는지 점검 (취약도 상)

진단

<XenServer> /etc/syslog.conf 파일을 점검하여, info, alert 등에 대한 로그파일 설정 확인

<XenCenter> syslog 설정 확인

 

XE-30. syslog 전송 포트 차단

UDP 514 Port는 Remote로 Syslog를 전송하는 Port로 사용

사용 시 보안상 취약하며, 서비스 포트가 열려있으면 침해사고의 위험 (취약도 상)

진단 : syslog 전송 포트 차단 설정 확인

1) 인터뷰를 통해 Remote Log 서버 사용 유무 확인

2) udp514 포트 확인

# netstat –an | grep "udp" 또는 # netstat –an | grep "udp" | egrep "514"

조치 : Remote Log서버를 사용하지 않을 경우 Syslog 전송 Port 차단을 권고

 

XE-31. 로깅 수준 설정

시스템 운영 중 발생하는 Information 등에 대한 기록을 남기기 위한 로그 설정 점검 (취약도 하)

<XenServer> 로깅 수준 설정 확인 -> 로그 남기도록 설정

<XenCenter> 로깅 수준 설정 확인 -> 로그 남기도록 설정

 

XE-32. 로그 파일 권한 설정

로깅 기록을 저장하는 파일의 소유자 및 읽기권한을 제한함으로써 보안을 강화 (취약도 하)

진단 : 로그 파일 확인 # ls –alL [로그파일명]

로그파일의 소유자 변경 설정 # chown root [로그파일명]

로그파일의 타사용자 쓰기 권한 제거 설정 # chmod o-w [로그파일명]

 

XE-33. 보안 패치 적용

Update Patch 발표 후 취약성을 이용한 공격도구가 먼저 출현할 수 있으므로

Update Patch는 발표 후 가능한 빨리 설치 필요 (취약도 상)

---

참고 강의 : https://www.youtube.com/watch?v=0nylQNl3Uvw&list=PLrBkRTfN1goPrjzIcBYZUWoBxhdc5P3zm&index=3

 

알게 된 내용

1) 클라우드 취약점 점검 가이드는 이번에 정리한 XenServer 외에도 Linux, Windows Server, NginX, Docker 등 다양한 클라우드 서비스에 대해 기술

->  클라우드 서비스도 결국 Linux 시스템이기 때문에 명령어를 사용하여 진단, 조치한다는 점이 유사하다고 볼 수 있습니다.

2) 본 가이드를 활용할 수 있는 대상으로는 클라우드 보안 인증을 위한 담당자 및 클라우드 서비스의 보안수준 향상을 위한 클라우드 정보보호 담당자 등 보안조치 시 활용할 수 있음

-> 앞으로 취약점 진단 업무를 수행하기 전에 가볍게 훑고 간다는 생각으로 계속 공부해나갈 예정입니다. 가능하다면 실습도 직접 해보려 합니다.