Auditd6 728x90 상용 DLP 없이 개인정보 지키기: 리눅스 기반 오픈소스 DLP 운영 가이드 리눅스 + 오픈소스 DLP의 현실적인 목표상용 엔드포인트 DLP처럼“파일을 USB/웹/메일로 내보내는 순간 실시간 차단”“화면 캡처, 클립보드, 인쇄까지 통합 통제”를 오픈소스 + 리눅스에서 완전히 동일하게 구현하는 건 사실상 불가능에 가깝습니다.온프레미스 리눅스 + OSS 환경에서는 보통 이렇게 목표를 잡는 게 현실적입니다.어디에 민감정보가 있는지 계속 찾아내고(Discovery)누가 그 데이터에 접근·복사·전송했는지 커널 레벨로 감사(Audit)이상 행위를 중앙에서 탐지·알림(SIEM/HIDS)가능한 채널(예: AI API, Proxy, Git, SFTP 등)에서 “텍스트/파일 내용” 기반 유출 패턴을 검사조직 정책과 권한 구조를 함께 정비아래는 이 목표를 위해 쓸 수 있는 현실적인 오픈소스 구성입니.. 2025. 11. 21. 리눅스 호스트 Bash 기반 경량 보안 모니터링 프레임워크 목표와 범위실시간 위협 가시성: 파일/프로세스/네트워크/사용자 이벤트 수집 및 이상 탐지즉각 대응 자동화: 프로세스 차단, 파일 격리, IP 봉쇄, 알림 발송증거 보존: 포렌식 로그·해시·타임라인 확보운영 편의: 단일 스크립트(또는 소규모 서비스)·시스템 서비스·대시보드/API 제공연동성: SIEM/메시징/티켓 시스템으로 표준 JSON 전송개념 아키텍처데이터 수집커널 이벤트: eBPF/bpftrace 또는 Auditd파일 변경: inotify/fanotify네트워크: ss/nftables conntrack, 간이 허니팟사용자/권한: sudo/lastlog/wtmp, 그룹 변경탐지 엔진룰 기반(YARA/정규식/화이트리스트) + 행위 기반(빈도·패턴·상태머신)대응(Containment)프로세스 종료/격리, .. 2025. 9. 1. Linux Audit Framework 시스템 모니터링 및 보안 위협 탐지하는 방법 Osquery에서 audit 프레임워크를 활성화하면 기본적으로 audit.rules에서 설정한 규칙 외에도 다양한 이벤트가 자동으로 수집됩니다. 이 중 일부는 Linux auditd와 유사하지만, Osquery는 추가적인 이벤트를 생성할 수 있습니다.1. 기본적으로 수집되는 이벤트Osquery가 Audit 프레임워크를 활용하여 기본적으로 수집하는 이벤트는 다음과 같습니다.1.1. Process Events (프로세스 이벤트)execve (새로운 프로세스 실행)fork 및 clone (프로세스 생성)exit (프로세스 종료)setuid, setgid (권한 변경)1.2. File Events (파일 접근 및 변경)open, openat (파일 열기)unlink, unlinkat (파일 삭제)rename, .. 2025. 2. 12. Linux 프로세스 및 파일 추가/변경/삭제 이벤트 로그수집 및 감사 auditd를 통해 실행되는 프로세스 이벤트와 파일 추가/변경/삭제 이벤트를 로그로 기록하고 수집할 수 있습니다. 강력한 Linux 감사 프레임워크로, 다양한 시스템 이벤트를 모니터링하고 기록할 수 있습니다. 이를 위해서는 auditd를 설정하고 필요한 규칙을 정의해야 합니다. 다음은 auditd를 설정하고 프로세스 및 파일 이벤트를 모니터링하는 방법입니다.auditd 설치: CentOS 5에서는 auditd를 다음과 같이 설치할 수 있습니다.yum install auditauditd 서비스 시작: auditd 서비스를 시작하고 부팅 시 자동으로 시작되도록 설정합니다.service auditd startchkconfig auditd on규칙 정의: /etc/audit/audit.rules 파일에 규칙을 .. 2024. 7. 18. n8n에서 원격 시스템 SSH 명령수행 자동화 및 명령로그 모니터링 n8n에서 SSH를 통해 서버에 명령어를 실행하려고 할 때 나타나는 "Pseudo-terminal will not be allocated because stdin is not a terminal." 메시지는 SSH가 명령어 실행을 위해 가상 터미널을 할당하려고 시도하지만, 표준 입력(stdin)이 터미널이 아니라는 것을 나타냅니다. 이 메시지는 여러 상황에서 나타날 수 있지만, 주로 다음과 같은 이유 때문에 발생합니다.비대화식(Non-interactive) SSH 세션: SSH 클라이언트가 스크립트나 프로그램을 통해 원격 서버에 명령어를 실행하려고 할 때, 대화형 터미널 세션이 아니라 명령어 실행 모드로 동작합니다. 이 경우, SSH 클라이언트는 표준 입력이 사용자와의 인터랙티브한 터미널이 아니라고 판단.. 2024. 5. 20. 이전 1 2 다음 728x90 728x90
