시스템 각 계정의 최근 접속정보를 확인하는 lastlog 개론

시스템 각 계정의 최근 접속정보를 확인하는 lastlog 개론

 

lastlog는 /etc/passwd파일에 정의되어 있는 모든 계정의 최근 접속정보를 확인하는 명령어입니다.  

 

 

 

  주로 서버의 보안점검을 위하여 필수적으로 확인해 보아야하는 명령어입니다.  

 

 

 

 간단히 lastlog라고만 하면 모든 계정의 마지막 접속정보를 출력해 줍니다.  

 

 

 

 

시스템관리자라면 출력되는 정보만을 확인하는 것도 필수적으로 확인해야 할 사항이지만 “이 정보가 어떤 환경에서 출력되었고 또한 그 결과를 어떤 의미로 해석해야 하는가?”라는 단계까지 분석할 수 있어야만 유능한 시스템관리자가 될 수 있습니다.  

 

 

 

 

 

명령어위치 : /usr/bin/lastlog

 

사용형식  

-b, --before <날짜> : <날짜>일 이전의 최근 기록을 표시함.

        -t, --time <날짜>   : <날짜>일 내의 최근 기록만 표시함.

        -u, --user <로그인> : <로그인> 사용자의 최근 기록만 표시함.

 

이 책의 last명령어편에서 배웠듯이 last명령어가 /var/log/wtmp파일을 참조하여 사용자들의 접속정보를 출력하는 것처럼 이번 장에서 설명하는 lastlog는 /var/log/lastlog파일의 정보에 저장된 정보를 참조하여 각 계정사용자들의 최근 접속정보를 출력합니다.  

 

 

 

 /var/log/wtmp파일과 /var/log/lastlog파일은 바이너리파일로 되어 있기 때문에 cat이나 vi등의 일반적인 방법으로는 확인할 수 없습니다.  

 

 

 

 따라서 /var/log/wtmp파일은 last명령어로 확인하고 /var/log/lastlog파일은 lastlog명령어로 그 내용을 확인합니다.  

 

 

 

 

 

한가지 알아두어야 할 것은 /var/log/lastlog파일에 저장되는 형식은  /usr/include/lastlog.h 파일에 정의된 포맷(format)으로 저장된다는 점입니다.  

 

 

 

 

/usr/include/lastlog.h파일을 잠깐 살펴보면 다음과 같습니다.  

 

 

 

 

 

[root@su249 ~]# cat /usr/include/lastlog.h /* This header file is used in 4.3BSD to define `struct lastlog',    which we define in <bits/utmp.h>.  */   #include <utmp.h> [root@su249 ~]# [root@su249 ~]# ls -l /usr/include/utmp.h -rw-r--r-- 1 root root 3334 2008-05-0521:19 /usr/include/utmp.h [root@su249 ~]#

 

결론적으로 /var/log/lastlog파일에 저장되는 포맷(format)은 /usr/include/utmp.h파일에 지정된 포맷을 사용한다는 것을 알 수 있습니다.  

 

 

 

 관심 있으신 분들이라면 /usr/include/utmp.h파일의 내용을 한번쯤 살펴보시기 바랍니다.