IT/보안

[vRL] OTP Log(Free Raiusd) Log 포워딩 구성

알콩달콩아빠 2024. 5. 30. 19:30
728x90
반응형

최근, 구축된 VDI에 2차 인증 겸 Radius를 연동하여 놓았는데, 은근히(?) 인증이 안된다고 문의를 많이 받았습니다. 

그럴 때마다 일일이 Radius에 서버 들어가서 로그를 확인했어야 했는데, 관련 로그를 vRL로 보내서 편리하게 관리하고 싶다는 생각이 들어서 구성을 진행하였습니다. 

 

- Radius (FreeRadiusd) 인증(Auth) 관련 로깅 설정

먼저 Radius 서버에서 인증 관련 로그를 남기기 위해서 설정을 진행합니다. 

/etc/raddb/radiusd.conf 에서 auth/auth_badpass/auth_goodpass의 값을 yes로 변경 후 데몬 재시작합니다.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
   338         #  Log authentication requests to the log file.
    339         #
    340         #  allowed values: {no, yes}
    341         #
    342         auth = yes
    343
    344         #  Log passwords with the authentication requests.
    345         #  auth_badpass  - logs password if it's rejected
    346         #  auth_goodpass - logs password if it's correct
    347         #
    348         #  allowed values: {no, yes}
    349         #
    350         auth_badpass = yes
    351         auth_goodpass = yes
 
 cs
- 정상적으로 설정/출력되는지 확인하기 위하여 로깅을 남겨봅니다. Horiozon에 인증하여 들어간 후 정상적으로 로그가 남는지 확인해 봅니다. 로그의 위치는 별도로 변경하지 않았다면, /var/log/raddb/radiusd.log에서 확인이 가능합니다. 
1
2
3
4
5
Fri Mar xx xx:xx:xx 2021 : ERROR: (0) pam: ERROR: pam_authenticate failed: Authentication failure
Fri Mar xx xx:x:xx 2021 : Auth: (0) Login incorrect (pam: pam_authenticate failed: Authentication failure): [로깅아이디/패스워드] (from client xxxxxxx local port 1)
Fri Mar xx xx:xx:xx 2021 : ERROR: (1) pam: ERROR: pam_authenticate failed: Authentication failure
Fri Mar xx xx:x:xx 2021 : Auth: (1) Login incorrect (pam: pam_authenticate failed: Authentication failure): [로깅아이디/패스워드] (from client xxxxxxx port 1)
 

- 정상적으로 출력이 된 것을 확인해 보았으니, 해당 로그를 원격 서버로 전달하기 위한 설정을 진행해 봅니다. 여기서는 rsyslog로 진행하였습니다.

rsylog를 설치 후 /etc/rsyslog.conf 에 다음과 같은 내용을 추가한 후 데몬을 재시작해 줍니다.

1
2
3
4
5
6
7
8
# 로깅파일을 설정합니다. 
 
local1.*     /var/log/radius/radius.log
 
# 대상로그파일을 설정합니다. 
 
*.*          @ipaddress_loginsight
 
 cs

 

동일하게 인증 이벤트를 발생시킨 후 정상적으로 loginsight에 포워딩되는지 확인합니다.

 

해당 이벤트를 별도로 필터링하여 모아두기 위하여 대시보드를 새로 만들고 필터를 적용하였습니다.

(필터의 경우, 서버의 hostname이나 반복되는 문구(ex. "Invalid verficication code") 등을 적용하면 좋을 듯합니다. 

별도 대시보드로 로깅을 받습니다

아쉬운 점은 그룹핑을 할 수 있는 타입이 정해져 있어, 당장 제가 구성한 설정으로는 적용을 할 수없었습니다.

유저별로 통계를 내고 싶어 방법을 찾고 있는데.. 찾게 되면 추가적으로 공유드리겠습니다. 

방법이 있을듯하여.. 찾게되면 업데이트하여 공유드리도록 하겠습니다.

 

이상입니다. 

 

감사합니다.

 

 

 

참고사이트 : freeradius.1045715.n5.nabble.com/Freeradius-Log-with-Rsyslog-td5728659.html

 

출처 : [vRL] OTP Log(Free Raiusd) Log 포워딩 구성 (tistory.com)

728x90
반응형
저작자표시 비영리 변경금지

'IT > 보안' 카테고리의 다른 글

FreeRadius OTP 인증 서버 만들기  (0) 2024.05.30
우분투에서 squid프록시에서 clamAV와 c-icap 연동  (0) 2024.05.19
ICAP 서비스 리디렉션  (0) 2024.05.19
스퀴드(Squid)로 프록시 서버 구축하기  (0) 2024.05.19
GnuPG 사용 하기 ( 윈도우 환경 gpg4win )  (0) 2024.04.17

'IT/보안'의 다른글

  • 현재글[vRL] OTP Log(Free Raiusd) Log 포워딩 구성

관련글

댓글

티스토리툴바