로그: 소위 방문한 사람들의 흔적(행위)을 기록한 것이다. 로그를 조사할 경우: 1. last 로그, 프로세스 로그, syslog에 의해 생선된 것을 찾는다. 2. 침입을 당한 시스템에 있는 setuid, setgid 파일을 모두 찾아본다.(특히 setuid root 파일) --> 침입자들은 bin/sh 이나 bin/time 등과 같은 복사본을 만들어 놓는 경우가 많다. 그리고 로그가 저장되는 곳은 수정이 불가한 로그 데이터의 추가만이 가능한 저장매체에 하는 것이 좋다. [find 프로그램을 사용하면 setuid, setgid 파일을 찾아낼 수 있다.] ex) setuid root 파일, setgid kmem 파일을 전체 파일 시스템에서 찾기!! ==> find / -user root -perm -400..

보안 공부 2016. 2. 25. 12:29