Etc/Linux

Linux, 접속 로그 확인

곤프 2020. 5. 24. 09:08

리눅스에서는 서버에 접속실패 정보와 접속정보를 기록하고 있다. 해커의 공격이나 침입 흔적을 찾기 위해서 로그 파일을 점검해 보자.

접속 실패 로그 확인

ssh 접속 시도 실패 로그는 “/var/log/btmp” 파일에 특수하게 저장된다. 이 파일을 보기 위해서는 “last -f” 명령을 이용하여 확인할 수 있다.

root:~$last -f /var/log/btmp
root     ssh:notty    116.31.116.15    Tue Nov  1 06:26 - 06:26  (00:00)
root     ssh:notty    116.31.116.15    Tue Nov  1 06:26 - 06:26  (00:00)
root     ssh:notty    116.31.116.15    Tue Nov  1 06:26 - 06:26  (00:00)
root     ssh:notty    116.31.116.15    Tue Nov  1 06:26 - 06:26  (00:00)
root     ssh:notty    116.31.116.15    Tue Nov  1 06:26 - 06:26  (00:00)

접속정보 기록 확인

접속정보 기록은 로그인 했던 정보를 파일로 저장하며 “/var/log/wtmp” 파일에 저장된다.

root:~$last -f /var/log/wtmp
guest   pts/0        175.209.89.250   Tue Nov  1 14:41   still logged in
guest   pts/0        175.209.89.250   Tue Nov  1 11:51 - 11:51  (00:00)
guest   pts/0        175.209.89.250   Tue Nov  1 11:41 - 11:42  (00:00)
guest   pts/0        175.209.89.250   Tue Nov  1 11:29 - 11:40  (00:11)

last 명령어

서버용으로 사용되는 시스템의 관리자는 어떤 사용자가 언제 로그인했는지 확인할 필요가 있다. last, lastlog 라는 명령어로 확인할 수 있다. 먼저 last 명령어에 대해 알아보자.

last 명령어로 알 수 있는 정보

  • 접속계정명
  • 접속장치명
  • 접속한 IP주소
  • 접속시간
  • 시스템 재부팅 정보
root:~$last //최근 접속정보
root:~$last userid //사용자 접속 정보
root:~$last -t YYYYMMDDHHMMSS //지정일자 이전에 접속한 정보
root:~$last -n //원하는 행의 수만큼 출력
root:~$last -R //IP주소를 제외한 정보
root:~$last -a //IP주소를 열의 마지막에 출력
root:~$last -d //외부 접속 정보만을 출력

lastlog 명령어

각 사용자들이 언제 마지막으로 접속하였는가에 대한 각 사용자들의 최근 접속정보를 확인할 수 있다. 그리고 “/etc/passwd” 파일에 정의되어 있는 모든 사용자들의 마지막 접속정보를 확인하는 명령어이다. 또한 last는 “/var/log/wtmp” 파일의 내용을 출력해주지만 lastlog는 “/var/log/lastlog” 파일의 정보를 출력해준다.

root:~$lastlog -u userid //사용자의 마지막 접속 정보
root:~$lastlog -b N //N일 이전에 접속한 정보
root:~$lastlog -t D //D일 부터 현재까지 접속한 정보