자료를 검색하던 중 정말 괜찮은 기사를 발견하게 되었다.
지금부터 내가 적는 내용은 기사의 내용을 정리한 내용임을 미리 밝혀둔다.
시스템 보안이라고 하면, 방화벽, 네트워크 설정, 서비스 관리, 사용자 정책 등에 대한 생각을 하게 된다. 드물지만 루트킷 점검과 같은 수동적 방어에 대해서도 고려하게 된다.
그러나 보안을 정말 중요시하는 시스템 관리자에게 있어서 정말 중요한 것은 '파일시스템 무결성 점검' 이다.
이 무결성 점검은 파일시스템의 상태추적, 그리고 허가를 받지 않은 변경사항이 있는지 주기적으로 검사하는 과정이 포함된다. 수상한 변화가 감지되면 침입자에 의한 것인지 검사한후 피해복구를 해야 한다.
리눅스나 유닉스 환경에서 가장 잘 알려진 파일시스템 무결성 점검 도구는 트립와이어 (tripwire)
트립와이어의 개념
- 트립와이어는 개념적으로 매우 간단하다.
- 파일시스템의 '스냅샷'을 찍은 데이터베이스를 유지한다. 이 데이터베이스는 파일시스템에서 어느 부분에서 허가 받지 않은 변경을 했는지 검사하는 정책에 의해 만들어진다.
트립와이어의 정책
- 트립와이어의 정책은 일반적으로 스냅샷뿐만 아니라 파일시스템의 무허가 혹은 의심쩍은 변화를 규정하는 일련의 규칙도 제공한다. 트립와이어가 시스템을 점검하는 경우 정책을 활용하여 파일시스템의 현 상태를 검사하고 비교한 뒤 발견한 내용에 바탕을 둔 보고서를 생성한다.
- 보통 트립와이어는 하루에 한번 수행되며, 주로 시스템 사용자가 들어와있지 않은 야간에 이뤄진다.
주의할 점
- 트립와이어에는 두가지 문제점이 있다.
- 첫번째는 편리함의 문제이다.
- 트림와이어의 보고서가 검토하기에 길고 지루할 수 있다는 사실에 기인한다.
- 또한 트립와이어 정책에 의해 검사된 파일에 변화를 자주 가한다면 트립와이어 데이터베이스를 주기적으로 업데이트해야 한다는 사실에도 기인한다.
- 두번째는 약점의 문제이다.
- 파일시스템 무결성 검사가 실시간이 아니라 주기적으로 이뤄져야 한다는 사실에 기인한다.
- 이유는 실시간 파일시스템 검사가 엄청난 시스템 자원을 요구하며 성능을 크게 떨어트리기 때문이다.
상세 트립와이어의 사용 명령어는 아래 참고 url 에서 확인할 수 있음.
<참고>
- 리눅스 파일시스템의 [무결성 점검] - http://www.zdnet.co.kr/news/news_view.asp?artice_id=00000039144301&type=det&re=