touch 명령어로 파일의 시간을 조작했는지 유무를 판별하는 방법이 있나요?

misohouse의 이미지

예를 들어서 제가 touch 명령어로 파일의 시간을 변경했다고 가정하면, 다른 사람이 봤을 때는 이게 조작된건지 모르잖아요?

 
제가 생각한 한 가지 방법은 해당 디스크의 이미지를 떠서 저널 데이터 영역을 헥사 값으로 확인하면 바뀌기 전 값이 존재할 것이다 라는 건데

만약에 저널 데이터 영역이 꽉 차서 덮어씌게 되면 해당 파일의 시간이 바뀌었는지 알 수 없는 상황이 될 것 같아서 좋은 방법은 아닌 것 같습니다.

저널 데이터 영역을 확인해본다는 방법도 제가 시간을 조작했으니 저널 영역에 기록 되었겠구나 라고 생각해서 확인한거지 다른 사람이 봤을 때는 시간 값이 조작 되었다는 사실 조차 모른다는 문제점도 있구요..

 
그래서 생각한 또 다른 방법은 해당 파일에 무슨 명령어들이 사용됬는지 확인하면 되지 않을까? 였습니다.

근데 일반적으로 history 명령어를 사용하면 사용했던 명령어가 다 나오는데, 양이 많으니까 grep으로 잡아낸다고 해도 이게 저장되는 수가 한계가 있어서 오래 전에 시간을 변경했으면 탐지 못할 것 같다는 생각이 들더라구요..

 
분명히 touch 명령어로 시간을 변경했다는 정보를 얻을 수 있는 방법이 있을 거 같은데.. 검색해봐도 touch 명령어가 유용한 이유는 많이 찾을 수 있는데 해당 질문에 대한 답은 찾을 수가 없어서 질문드립니다.

 
답변해주시면 감사하겠습니다 ^^

Prentice의 이미지

혹시 tripwire 같은 걸 찾으시나요?

misohouse의 이미지

말씀해주신 tripwire 찾아서 설치했습니다.

/etc/tripwire/twpol.txt 정책에 있는 무결성 검사하는 부분 전부다 주석 처리하고

#
# User executables
#
(
rulename = "User executable files",
severity = $(SIG_LOW)
)
{
/root/touch_test -> $(SEC_BIN) ;
}

위와 같은 검사 코드를 넣었습니다. touch_test는 c로 만든 간단한 실행 프로그램입니다.

tripwire --update-policy --secure-mode low /etc/tripwire/twpol.txt

으로 정책을 변경하고 tripwire --check 명령어를 입력하면

Rule Name Severity Level Added Removed Modified
--------- -------------- ----- ------- --------
User executable files 33 0 0 0
(/root/touch_test)

Total objects scanned: 1
Total violations found: 0

으로 나옵니다. 그리고 touch -a -t 210602071917 touch_test 명령으로 시간을 바꾼 후 다시 tripwire --check 명령을 사용한 결과는 아래와 같습니다,

Rule Name Severity Level Added Removed Modified
--------- -------------- ----- ------- --------
User executable files 33 0 0 0
(/root/touch_test)

Total objects scanned: 1
Total violations found: 0

문제는 변한게 없다는 거죠..ㅠㅠ 시간 값이 바뀌었는데 변화되는게 없어서 당황스럽네요..

혹시 제가 잘못한 부분이 있나요??

어떻게든 되는 것은 없다.

misohouse의 이미지

시간 값 변경은 못찾는데 text 파일의 내용을 변경해보니 탐지하는 것을 확인할 수 있었습니다.

touch 명령어로 변경한 시간에 대해서는 탐지를 못하네요 ㅠㅠ

어떻게든 되는 것은 없다.

ymir의 이미지

파일에 대한 변조 여부를 감시하는게 목적이라면 hash 만 체크해도 충분합니다.
파일의 timestamp 는 필요에 의해 갱신되고, 임의로 변경 가능하니 굳이 체크할 필요는 없다고 보는데요.

아래와 같은 상황이라면, 파일의 내용이 바뀌어도 mtime 은 변화가 없이 그대로인데..
그걸 체크하는게 어떤 의미가 있을까요..?

$ stat .profile
  File: ‘.profile’
  Size: 812             Blocks: 8          IO Block: 4096   regular file
Device: 881h/2177d      Inode: 3149443     Links: 1
Access: (0644/-rw-r--r--)  Uid: ( 1000/    ymir)   Gid: ( 1000/    ymir)
Access: 2016-05-11 15:08:51.378170382 +0900
Modify: 2016-02-18 14:22:01.665927658 +0900
Change: 2016-02-18 14:22:01.677927658 +0900
 Birth: -
$ touch foo -r .profile
$ touch .profile
$ stat .profile
  File: ‘.profile’
  Size: 812             Blocks: 8          IO Block: 4096   regular file
Device: 881h/2177d      Inode: 3149443     Links: 1
Access: (0644/-rw-r--r--)  Uid: ( 1000/    ymir)   Gid: ( 1000/    ymir)
Access: 2016-05-12 09:19:28.911582483 +0900
Modify: 2016-05-12 09:19:28.911582483 +0900
Change: 2016-05-12 09:19:28.911582483 +0900
 Birth: -
$ touch .profile -r foo
$ stat .profile
  File: ‘.profile’
  Size: 812             Blocks: 8          IO Block: 4096   regular file
Device: 881h/2177d      Inode: 3149443     Links: 1
Access: (0644/-rw-r--r--)  Uid: ( 1000/    ymir)   Gid: ( 1000/    ymir)
Access: 2016-05-11 15:08:51.378170382 +0900
Modify: 2016-02-18 14:22:01.665927658 +0900
Change: 2016-05-12 09:19:39.063582081 +0900
 Birth: -

되면 한다! / feel no sorrow, feel no pain, feel no hurt, there's nothing gained.. only love will then remain.. 『 Mizz 』

익명 사용자의 이미지

공부 중에 궁금해서 여쭤봤습니다. 내용은 해시로 판별 가능한데 시간 정보는 어떻게 변하는지 판별할까 하고요 ㅎㅎ

misohouse의 이미지

아 로그인을 안하고 답변했네요 ㅋㅋ

어떻게든 되는 것은 없다.

chanik의 이미지

http://www.techrepublic.com/article/example-2-a-sample-tripwire-policy-file/

Table 3 
Identifier 	Function 	 
a 	 	access timestamp 	 
c 	 	inode change timestamp 	 
g 	 	Group Identifier (GID) 	 
i 	 	inode number 	 
m 	 	modification timestamp 	 
n 	 	link count 	 
p 	 	file permissions and file type 	 
u 	 	User Identifier (UID) 	 
s 	 	file size 	 

위 표를 보면 타임스탬프도 감시할 수 있는 것 같은데요.
twpol.txt 설정을 아래와 같이 바꿔보시면 되지 않을까요?
(+aicm은 위 표 보고 대충 만들어본 것이니 참고만..)

#/root/touch_test -> $(SEC_BIN) ;
/root/touch_test +aicm

익명 사용자의 이미지

음.. 문법이 계속 틀리다고 나오네요..

일단 맞는거 같은데 더 고민해보겠습니다..

백연구원의 이미지

stat 명령어는 파일의 modify 시각을 확인 할 수 있습니다.


소곤소곤

익명 사용자의 이미지

감사합니다 확인했습니다 ^^

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.