리눅스 분류
/var/log/message 의 내용에 대해 질문입니다
작성자 정보
- 최완 작성
- 작성일
컨텐츠 정보
- 4,745 조회
- 2 댓글
- 0 추천
- 목록
본문
사실 어떤 로그 파일을 봐야 될지 잘 몰라서
message 파일만 늘 들여다 보구 있는데요 ^^
보고 있으면 어디에서 ssh나 ftp 접속했다라는게 나오니까요..
근데 몇가지 이해가 안되는 메세지가 있어 문의합니다.
날짜 시간 hostname kernel : martian destination 0.0.0.0 from 특정 ip, dev eth0
와
su : (to nobody) root on none
입니다.
후자는 nobody 유저가 su 명령어를 사용해서 root 계정에 접속하려 했다..라고 생각하는데요..
사실 su 명령어는 root만 사용가능하도록 700인가로 퍼미션 바꾸어놓은 상태입니다.
어찌되었든... 제가 적은 두가지 메세지에 대해서 혹시 아시는 분 있다면..
그리고 그게 보안에 있어 문제가 되는 점이 있다면 어떻게 고쳐야 할지..좀 알려주세요 ㅠ.ㅠ
관련자료
-
이전
-
다음
댓글 2
장병훈님의 댓글
- 장병훈
- 작성일
로그를 올리실때 중요 한부분이 있으면 "*"로 일부 지우고 올리시던지 하세요.
이런식으로 로그의 일부분만 봐서는 무었때문에 로그인 했는지 유추만 가능 할 뿐입니다.
정확한 답변을 듣고 싶다면 중요한 부분을 *로 가리시더라도 원본 로그를 올려 주시기 바랍니다.
hostname kernel와 su:(to nobody) root on none 사이에 메세지 전부를 올려 주세요.
"날짜 시간 hostname kernel : martian destination 0.0.0.0 from 특정 ip, dev eth0"
생각 나는 데로 몇자 적습니다. 일부분만 있는 관계로 어떤 로그인지 정확히 해석이 안됩니다.
1. kernel : martian <--"martian" 리눅스 커널 이름인거 같음 리눅스 커널 버전 마다 이름이 각기 있음.
예를 들어 레드헷 9.0경우 psycho 라고 써있음
확인 방법은 로그인 화면 상단에 커널 버전과 이름이 나옴 또는 리눅스 콘솔에서
"uname -a" 하면 됨.
2. 인터넷(eth0) 특정 ip에서 서버의 열린 포트로 접속했다는(다시말해 인터넷으로 특정 웹페이지에 접속했다는 뜻 정도..)의미 특별한 의미가 없는듯 함.
3. su: (to nobody) 익명계정(nobody)로 접속했음 root on none (루트로 접속하지 않았음.)
ftp나 www or webmail 정도 웹 인터페이스를 이용하여 접속 했다는 뜻임. nobody 계정을 막을 경우 www / 웹메일 로그인 /게시판 인증/ 게시판 파일 업로드 부분에서 문제가 발생 할수있습니다.
4. 어텍이 아니라 정상적인 웹 접근인것으로 유추됩니다.
다른 의견이 있으시면 올려 주십시요. 배우는 입장에서 답글을 적어도 저도 긴가 합니다.
이런식으로 로그의 일부분만 봐서는 무었때문에 로그인 했는지 유추만 가능 할 뿐입니다.
정확한 답변을 듣고 싶다면 중요한 부분을 *로 가리시더라도 원본 로그를 올려 주시기 바랍니다.
hostname kernel와 su:(to nobody) root on none 사이에 메세지 전부를 올려 주세요.
"날짜 시간 hostname kernel : martian destination 0.0.0.0 from 특정 ip, dev eth0"
생각 나는 데로 몇자 적습니다. 일부분만 있는 관계로 어떤 로그인지 정확히 해석이 안됩니다.
1. kernel : martian <--"martian" 리눅스 커널 이름인거 같음 리눅스 커널 버전 마다 이름이 각기 있음.
예를 들어 레드헷 9.0경우 psycho 라고 써있음
확인 방법은 로그인 화면 상단에 커널 버전과 이름이 나옴 또는 리눅스 콘솔에서
"uname -a" 하면 됨.
2. 인터넷(eth0) 특정 ip에서 서버의 열린 포트로 접속했다는(다시말해 인터넷으로 특정 웹페이지에 접속했다는 뜻 정도..)의미 특별한 의미가 없는듯 함.
3. su: (to nobody) 익명계정(nobody)로 접속했음 root on none (루트로 접속하지 않았음.)
ftp나 www or webmail 정도 웹 인터페이스를 이용하여 접속 했다는 뜻임. nobody 계정을 막을 경우 www / 웹메일 로그인 /게시판 인증/ 게시판 파일 업로드 부분에서 문제가 발생 할수있습니다.
4. 어텍이 아니라 정상적인 웹 접근인것으로 유추됩니다.
다른 의견이 있으시면 올려 주십시요. 배우는 입장에서 답글을 적어도 저도 긴가 합니다.
장병훈님의 댓글
- 장병훈
- 작성일
헐렁고수 박성수님께 물어 보시면 자세한 답변을 들으실 수 있을 겁니다.
블리자드 모 온라인 게임 이름과 흡사한, 보안 공부 했다는 사람들은 다아는 버퍼 오버 플로우 쪽에 유명한 해커그룹소속 이셨습니다. ㅅㅅ;;
블리자드 모 온라인 게임 이름과 흡사한, 보안 공부 했다는 사람들은 다아는 버퍼 오버 플로우 쪽에 유명한 해커그룹소속 이셨습니다. ㅅㅅ;;
