Oracle® Solaris 11.2의 파일 보안 및 파일 무결성 확인

인쇄 보기 종료

 
업데이트 날짜: 2014년 7월
 
 

시간에 따라 동일 시스템에 대한 매니페스트를 비교하는 방법

시간별로 매니페스트를 비교하면 손상되었거나 일반적이지 않은 파일을 찾아내고, 보안 위반 사항을 검색하고, 시스템의 성능 문제를 해결할 수 있습니다.

시작하기 전에

root 역할을 맡아야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.

  1. 시스템에서 모니터할 파일의 제어 매니페스트를 만듭니다. 
    # bart create -R /etc > control-manifest
  2. (옵션)이후에 사용할 수 있도록 매니페스트를 보호되는 디렉토리에 저장합니다.

    예는 제어 매니페스트를 만드는 방법Step 3을 참조하십시오.

  3. 나중에 제어 매니페스트에 대해 동일한 매니페스트를 준비합니다. 
    # bart create -R /etc > test-manifest
  4. ()두번째 매니페스트를 보호합니다. 
    # mv test-manifest /var/adm/log/bartlogs
  5. 두 매니페스트를 비교합니다.

    매니페스트를 만드는 데 사용한 동일한 명령줄 옵션 및 규칙 파일을 사용하여 매니페스트를 비교합니다.

    # bart compare options control-manifest  test-manifest > bart-report
  6. BART 보고서에서 이상한 점을 검토합니다.
예 2-2  시간별로 동일 시스템의 파일 변경 사항 추적

이 예에서는 시간별로 /etc 디렉토리의 변경 사항을 추적하는 방법을 보여줍니다. 이 유형의 비교를 통해 손상된 시스템에서 중요한 파일을 찾을 수 있습니다.

  • 제어 매니페스트를 만듭니다.

    # cd /var/adm/logs/manifests
# bart create -R /etc > system1.control.090713
! Version 1.1
! HASH SHA256
! Saturday, September 07, 2013 (11:11:17)
# Format:
#fname D size mode acl dirmtime uid gid
#fname P size mode acl mtime uid gid
#fname S size mode acl mtime uid gid
#fname F size mode acl mtime uid gid contents
#fname L size mode acl lnmtime uid gid dest
#fname B size mode acl mtime uid gid devnode
#fname C size mode acl mtime uid gid devnode
/.cpr_config F 2236 100644 owner@:read_data/write_data/append_data/read_xattr/wr
ite_xattr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchr
onize:allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:all
ow,everyone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow
4e271c59 0 0 3ebc418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090
/.login F 1429 100644 owner@:read_data/write_data/append_data/read_xattr/write_x
attr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchronize
:allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow,ev
eryone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow
4bf9d6d7 0 3 ff6251a473a53de68ce8b4036d0f569838cff107caf1dd9fd04701c48f09242e
.
.
.

  • 나중에 동일한 명령줄 옵션을 사용하여 테스트 매니페스트를 만듭니다.

    # bart create -R /etc > system1.test.101013
Version 1.1
! HASH SHA256
! Monday, October 10, 2013 (10:10:17)
# Format:
#fname D size mode acl dirmtime uid gid
#fname P size mode acl mtime uid gid
#fname S size mode acl mtime uid gid
#fname F size mode acl mtime uid gid contents
#fname L size mode acl lnmtime uid gid dest
#fname B size mode acl mtime uid gid devnode
#fname C size mode acl mtime uid gid devnode
/.cpr_config F 2236 100644 owner@:read_data/write_data/append_data/read_xattr/wr
ite_xattr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchr
onize:allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:all
ow,everyone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow
4e271c59 0 0 3ebc418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090
.
.
.

  • 매니페스트를 비교합니다.

    # bart compare system1.control.090713 system1.test.101013
/security/audit_class
mtime  4f272f59

출력은 제어 매니페스트가 만들어진 이후 audit_class 파일에 대한 수정 시간이 변경되었음을 나타냅니다. 이 변경 사항이 예상치 않은 것이면 추가 조사를 진행할 수 있습니다.

Copyright © 2002, 2014, Oracle and/or its affiliates. All rights reserved. 법적 공지
이전
다음