리눅스마스터1급 : 시스템 로그 파일 /var/log/secure
작성자 정보
- 관리자 작성
- 작성일
컨텐츠 정보
- 2,611 조회
- 0 추천
- 목록
본문
리눅스마스터1급 : 시스템 로그 파일 /var/log/secure
다음은 시스템에 사용자가 원격접속, 즉 원격 로그인 정보를 기록한 것(messages에 기록되지 않은 사적인 로그인 정보가 기록되는 것이다)으로서 서버 보안에 아주 민감하고 중요한 파일이다.
특히 tcp_wrapper의 접속 제어에 관한 로그 파일로서 언제, 누가, 어디에서, 어떻게 접속했는가에 대한 로그를 기록하고 있다.
sshd 데몬과 su 관련 실행, telnet 원격접속 및 gdm 관련 실행 내용들이 기록되는 로그 파일로서, 시스템에 불법 침입 등이 있었다고 의심이 될 때는 반드시 이 로그파일을 확인해야 한다.
이 파일은 순서대로 날짜, 시간, 호스트, 프로세스명, 설명으로 이루어진다.
다음 예제에서는 kgb라는 사용자가 tty1(터미널에 의한 시스템 접속. 여기서는 자신의 시스템 앞에서 로그인한 상황)을 통해 접속했다는 사실을 알 수 있다.
[root@RockyLinux01 ~]# cat /var/log/secure Jun 15 10:43:52 RockyLinux01 systemd[1164]: pam_unix(systemd-user:session): session opened for user gdm(uid=42) by (uid=0) Jun 15 10:43:53 RockyLinux01 gdm-launch-environment][1135]: pam_unix(gdm-launch-environment:session): session opened for user gdm(uid=42) by (uid=0) Jun 15 10:43:56 RockyLinux01 polkitd[925]: Registered Authentication Agent for unix-session:c1 (system bus name :1.25 [/usr/bin/gnome-shell], object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale ko_KR.UTF-8) Jun 15 10:44:09 RockyLinux01 sshd[1934]: Accepted password for root from 192.168.19.111 port 50364 ssh2 Jun 15 10:44:09 RockyLinux01 systemd[1938]: pam_unix(systemd-user:session): session opened for user root(uid=0) by (uid=0) Jun 15 10:44:09 RockyLinux01 sshd[1934]: pam_unix(sshd:session): session opened for user root(uid=0) by (uid=0) [root@RockyLinux01 ~]# |
관련자료
-
이전
-
다음
