본문 바로가기

운영체제 (LNX,WIN)689

리눅스 procfs 시스템 콜 기반 통제: seccomp, AppArmor, SELinux 활용 seccomp는 시스템 콜 수준에서 필터링을 수행하는 보안 메커니즘이므로, 특정 시스템 콜을 차단하거나 허용할 수는 있지만, /proc 경로에 대한 직접적인 접근을 제어하지는 않습니다. 하지만 proc 파일 시스템에 대한 접근을 간접적으로 제한할 수 있는 방법은 있습니다.seccomp로 /proc 접근 제한 가능할까?/proc은 커널이 프로세스 정보를 제공하는 가상 파일 시스템이므로, 파일 시스템 관련 시스템 콜 (open, openat, read, write, stat, fstat 등)을 필터링하면 접근을 제한할 수 있습니다. 예를 들어, /proc의 특정 파일에 접근하려면 일반적으로 다음과 같은 시스템 콜이 필요합니다.openatopenreadwritestatfstat 이러한 시스템 콜을 seccom.. 2025. 4. 12.

Osquery Augeas 렌즈 활용 시스템 설정을 SQL 쿼리로 조회 분석 자동화 Osquery는 다양한 시스템 정보를 SQL 형태로 조회할 수 있도록 지원하는 오픈소스 도구입니다. 그중 Augeas를 활용하여 시스템 설정 파일을 구조화된 데이터로 변환하고 SQL 쿼리로 조회할 수 있습니다.Augeas란?Augeas는 Linux 및 Unix 시스템의 구성 파일을 파싱, 수정, 검증하는 라이브러리입니다. 시스템의 다양한 설정 파일을 구조화된 데이터 형태로 변환하고, 이를 안전하게 수정할 수 있도록 지원합니다.1. Osquery에서 Augeas는 기본 활성화인가?Osquery는 기본적으로 내장된 Augeas 렌즈를 사용하여 주요 설정 파일을 파싱할 수 있습니다. 하지만, /usr/share/osquery/lenses/ 폴더에 있는 렌즈 파일들은 자동으로 로드되지 않으며, 필요할 경우 설정.. 2025. 3. 5.

Wazuh 활용한 방화벽 룰셋 모니터링 및 SCA 관리 체계 Wazuh를 사용하여 iptables 룰셋 변경 감지와 Security Configuration Assessment(SCA)를 통합하여 서버의 보안 상태를 점검하고, 변경 사항을 중앙에서 모니터링 및 관리하며, 이상 상태에 대한 알림을 설정하고 대응하는 전체 프로세스 체계로 각 단계별 설정 및 예시입니다.시스템 개요목표iptables 룰셋 변경을 실시간으로 감지하고, 중앙 로그로 수집 및 경고(Alert) 생성.SCA 룰셋을 활용해 주기적으로 시스템 보안 상태를 점검하고, 정책 위반(Failed)을 탐지.모든 이벤트를 중앙에서 관리하고 비정상 상태에 대한 알림과 대응 조치를 수행.구성 요소Wazuh Agent각 서버에서 iptables 및 SCA 데이터를 수집.Wazuh Manager중앙에서 데이터를 분.. 2025. 2. 22.

Linux Audit Framework 시스템 모니터링 및 보안 위협 탐지하는 방법 Osquery에서 audit 프레임워크를 활성화하면 기본적으로 audit.rules에서 설정한 규칙 외에도 다양한 이벤트가 자동으로 수집됩니다. 이 중 일부는 Linux auditd와 유사하지만, Osquery는 추가적인 이벤트를 생성할 수 있습니다.1. 기본적으로 수집되는 이벤트Osquery가 Audit 프레임워크를 활용하여 기본적으로 수집하는 이벤트는 다음과 같습니다.1.1. Process Events (프로세스 이벤트)execve (새로운 프로세스 실행)fork 및 clone (프로세스 생성)exit (프로세스 종료)setuid, setgid (권한 변경)1.2. File Events (파일 접근 및 변경)open, openat (파일 열기)unlink, unlinkat (파일 삭제)rename, .. 2025. 2. 12.

파일 무결성 모니터링(FIM)을 Osquery 통해 완벽한 이벤트 탐지 활용 1. File Integrity Monitoring (FIM) 개요File Integrity Monitoring (FIM)은 중요한 파일 및 디렉터리의 변경을 감지하는 보안 메커니즘으로, 시스템 침입 탐지, 무단 수정 감지, 규제 준수 목적 등에 활용됩니다. osquery는 다양한 운영 체제에서 FIM을 지원하며, 각각의 플랫폼에서 다음과 같은 이벤트 수집 방식을 사용합니다.Linuxfile_events (inotify 사용)process_file_events (Audit 사용)Windowsntfs_journal_events (NTFS Journaling 사용)macOSfile_events (FSEvents 사용)2. osquery에서 FIM 활성화기본적으로 FIM 기능은 비활성화되어 있으며, 다음 설정.. 2025. 2. 11.

이전 1 2 3 4 ··· 138 다음

728x90

티스토리툴바