열려진 포트확인과 특정 파일이 어떤 프로세스에 의해 사용되고 있는가를 확인하는 lsof 개론

열려진 포트확인과 특정 파일이 어떤 프로세스에 의해 사용되고 있는가를 확인하는 lsof 개론

 

 

 

 

 

lsof명령어는 "list open files"의 약어로서 시스템의 파일이 어떤 프로세스에 의해 사용이 되고 있는가를 확인하거나 현재 시스템에서 열려있는(또는 사용중인)포트를 점검하고자 할 때 사용하는 명령어입니다.

 

 

 

 이 lsof와 함께 netstat을 사용하면 시스템이 외부의 어떤 호스트(서버)와 연결상태인가? 또는 어떤 서비스의 준비상태가 어떠한가?등에 대해서 거의 완벽하게 파악할 수 있는 실무적인 가치가 매우 높은 명령어입니다.

 

 

 

 그리고 lsof와 함께 꼭 알아두어야 할 명령어가 서버측에서 사용하는 netstat뿐 아니라 MS윈도우와 같은 데스크탑에서도 외부 서버와의 세션연결여부를 확인할 수 있는 명령어가 있습니다.

 

 

 

 즉, 여러분이 사용하시는 윈도우 데스크탑의 명령어창에서 다음과 같이 netstat이라는 명령어를 실행하면 다음 예와 같이 외부연결 상태를 확인할 수 있습니다.

 

 

 

 

 

 

 

 

 

 

 

즉, 리눅스 시스템에서도 lsof와 netstat명령어를 이용하여 외부와 연결준비 중이거나 연결되었거나 연결되어 종료된 다양한 연결세션들에 대해서 알 수 있습니다.

 

 

 

 즉, lsof는 시스템관리자에게는 꼭 필요한 명령어이며 해킹 및 보안을 위한 서버보안점검 명령어입니다.

 

 

 

 필자의 경우 정기적인 서버점검시에 lsof로 시스템의 열린포트를 점검하는 용도로 사용하고 있습니다.

 

 

 

 

 

명령어위치 : /usr/sbin/lsof

 

한가지 강조하고 싶은 것은 이 명령어의 실무가치입니다.

 

 

 

 즉, 현재 시스템관리를 하고 있는 여러분과 필자의 입장에서 가장 중요한 것은 보안과 백업일 것입니다.

 

 

 

 즉, lsof라는 이 명령어는 서버보안점검에 가장 필수적이라고 할 정도로 보안점검에 있어서 매우 중요한 역할을 합니다.

 

 

 

 

 

즉, 서버가 해킹을 당하였을 경우에 거의 대부분은 해킹에 의해 특정 프로그램이 설치되고, 설치된 해킹 프로그램에 의해 서버의 특정 포트가 사용 됩니다.

 

 

 

  이때 우리 시스템관리자들이 서버의 해킹 여부를 확인하기 위하여 가장 먼저 하는 것이 현재 서버가 사용하고 있는 포트(즉, 현재 열려져있는 포트들)확인 입니다.

 

 

 

 

 

이렇게 확인한 포트가 정상적인 포트가 아니라고 판단이 된다면 그 포트에서 사용하고 있는 파일과 프로세스를 확인하고, 이렇게 확인한 파일과 프로세스가 정상적이지 않은 것이라면 해킹으로 인해 설치되었다고 판단할 수 있는 것입니다.

 

 

 

 

 

이런 과정들을 확인하는 역할을 이번 장에서 설명하는 lsof명령어로 할 수 있기 때문에 필자가 이토록 강조하고 있는 것입니다.

 

 

 

 

 

그리고 이미 말씀 드렸지만 lsof명령어와 함께  반드시 netstat이라는 명령어도 알아두시기 바랍니다.

 

 

 

 시스템 보안점검을 위하여 이 두 명령어(lsof, netstat)는 거의 모든 관리자들에 의해 사용되고 있습니다.

 

 

 

  netstat의 자세한 설명은 이 사이트(www.linux.co.kr)의  netstat편을 참조해 주시기 바랍니다.