/var/log/message 의 내용에 대해 질문입니다

안녕하십니까? 오늘과내일의 홍석범입니다.

아래 문의하신 두 로그에 대해 답변드립니다.

날짜 시간 hostname kernel : martian destination 0.0.0.0 from 특정 ip, dev eth0
==> martian에 대해서는 리눅스서버보안관리실무 p 337에 언급되어 있듯이 비정상적인 패킷에 대한 로그를 남기는 것입니다. 0.0.0.0은 broadcast 주소이며 대부분 네트워크의 설정오류로 인한 경우가 대부분이므로 혹 네트워크 관련 잘못 설정된 부분은 없는지 확인해 보시기 바랍니다.

su : (to nobody) root on none
==> 로그가 남은 시각과 주기도 함께 올려주시면 좋을것 같은데요... 이는 대부분 시스템 cron에 의한 작업으로 인하여 보이는 경우가 많습니다. 즉 보안적인 목적으로 굳이 root로 작동하지 않아도 될 시스템관련 프로그램의 경우 nobody로 su하여 작동하게 됩니다.
정상적인 내용이니 신경쓰지 않으셔도 되겠습니다...

감사합니다.

최완 님의 글

사실 어떤 로그 파일을 봐야 될지 잘 몰라서

message 파일만 늘 들여다 보구 있는데요 ^^

보고 있으면 어디에서 ssh나 ftp 접속했다라는게 나오니까요..

근데 몇가지 이해가 안되는 메세지가 있어 문의합니다.

날짜 시간 hostname kernel : martian destination 0.0.0.0 from 특정 ip, dev eth0

와

su : (to nobody) root on none

입니다.

후자는 nobody 유저가 su 명령어를 사용해서 root 계정에 접속하려 했다..라고 생각하는데요..

사실 su 명령어는 root만 사용가능하도록 700인가로 퍼미션 바꾸어놓은 상태입니다.

어찌되었든... 제가 적은 두가지 메세지에 대해서 혹시 아시는 분 있다면..

그리고 그게 보안에 있어 문제가 되는 점이 있다면 어떻게 고쳐야 할지..좀 알려주세요 ㅠ.ㅠ