[정보보안기사] 실기대비 요약 #3(시스템 보안)
○ 로그
- lastlog -u algisa #algisa라는 ID를 가진 사용자의 최근 로그인 기록 추적
- lastlog -t 5 #현재로부터 5일 이내에 접근한 로그인 기록 추적
- last reboot #wtmp 파일에 저장된 정보 중 시스템 재부팅 기록 추적
- lastb #btmp 파일에 저장된 로그인 실패 기록 추적
○ 윈도우 인증과정 구성요소
- LSA(Local Security Authority) : 시스템 자원에 대한 접근권한 검사
- SAM(Security Account Manager) : 사용자/그룹 계정정보에 대한 DB 관리
- SRM(Security Reference Monitor) : 인증된 사용자에게 SID(Security ID) 부여
○ SID 구조
- Administrator : S-1-5-21-......-500
- Guest : S-1-5-21-......-501
- 일반사용자 : S-1-5-21-......-1001
- S-1 : 윈도우 시스템을 의미
- 5-21 : 도메인 컨트롤러이거나 단독 시스템
- 500 : 관리자 식별자
- 501 : 게스트 식별자
- 1001 : 일반 사용자 식별자
○ 소유자가 root이고 파일유형이 일반(실행) 파일이고 SUID 또는 SGID가 설정된 파일 정보를 상세 출력
- find / -user root -type f \(-perm -4000 -o -perm -2000 \) -exec ls -al{} \;
○ chmod -s 실행파일명 : suid, sgid 권한을 모두 제거
○ 유닉스/리눅스 시스템별 root 계정 원격 접속 제한 설정
- SunOS : /etc/default/login
- Linux : /etc/pam.d/login
- AIX : /etc/security/user
- HP-UX : /etc/security
○ 유닉스/리눅스 주요 로그 파일
- utmp(x) : 현재 로그인한 사용자 상태정보. "w", "who", "finger", /var/run/utmp
- wtmp(x) : 사용자의 성공한 로그인/로그아웃 정보. "last"
- lastlog : 가장 최근에(마지막으로) 성공한 로그인 기록
- btmp, loginlog(unix) : 실패한 로그인 시도 기록 "lastb"
- acct/pacct : 사용자가 로그아웃할 때까지 입력한 명령어, 터미널, 프로세스 시작시간 "lastcomm"
- secure : 사용자 인증에 대한 정보를 기록 /var/log/secure
- message : 리눅스 시스템의 가장 기본적인 시스템 로그 기록
- dmesg : 리눅스가 부팅될 때 출력되는 모든 메시지 기록
