lastlog 에 관해서 질문드립니다

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

last 또는 lastlog 에 보이는 정보는 로그인에 성공한 정보가 남게 되므로 비정상적인 접속이 있었다면 로그인을 했다는 의미가 됩니다. 따라서 만약 abc라는 유저의 로그인 정보가 수상하다면

1. 제일 먼저 abc의 암호가 쉬운 암호 또는 추측이 쉬운 암호가 아닌지 확인해 보시고
2. abc 유저의 .bash_history 를 확인하여 어떤 시도를 했는지 확인해 보시기 바랍니다.

따라서, 그러한 경우 암호를 어렵게 설정하거나 lock을 설정하고(본서 p47 참조), 만약 root 권한까지 획득하였다면 각종 보안 프로그램을 활용하여 시스템을 점검하셔야 합니다. 이러한 경우 본서 9장의 보안프로그램 활용등을 참고하시면 도움이 되실 것입니다.

감사합니다.