유닉스 시스템 로그 설정과 관리

유닉스 시스템 로그 설정과 관리

1. acct/pacct : 사용자가 사용한 명령이나 프로세스 활동들을 기록한다. 바이너리 형태로 저장되며, 'lastcomm', 'acctcom', 'sa' 명령으로 확인할 수 있다.
# lastcomm

2. history : 사용자별 명령어를 기록하는 파일로 csh, tcsh, ksh, bash 등 사용자들이 사용하는 쉘에 따라 .history, .bash_history 파일 등으로 기록함. 이전 명령어 들을 찾기 쉽고 사용하기 보다 편하기 위해 만들어 졌기 때문에 로그 파일이라고 말하기 어렵다. 그래서 /var/log에 위치하지 않고 사용자의 홈 디렉토리에 사용자별로 존재한다.

3. lastlog : 각 사용자의 최종 로그인 정보. lastlog로 확인 가능함.

# lastlog
사용자명 포트 ~로부터 최근정보
root pts/3 23.30.31.139 목 12월 27 22:37:27 +0900 2007
bin **한번도 로그인한 적이 없습니다**
daemon **한번도 로그인한 적이 없습니다**
adm **한번도 로그인한 적이 없습니다**
lp **한번도 로그인한 적이 없습니다**
sync **한번도 로그인한 적이 없습니다**
shutdown **한번도 로그인한 적이 없습니다**......

4. loginlog

Solaris를 포함한 시스템 V계열의 유닉스에서 실패한 로그인 시도를 기록하는 파일기본적으로 존재하지않는파일, 수동생성해야함
실습

1) /var/adm/loginlog 파일을 생성
#touch /var/adm/loginlog

2) /etc/default/login 파일수정
RETRIES=5 부분의 주석 부분을 제거

5. messages : 부트 메시지 등 시스템의 콘솔에서 출력된 결과를 기록하고 syslogd에 의해 생성된 메시지도 기록. 로그 파일 중 가장 중요한 부분으로 로그인 기록부터 디바이스 정보, 시스템 설정오류, 파일 시스템, 네트워크 세션 기록 등 가장 다양한 정보를 가지고 있는 파일임. 침입자의 공격 형태가 어느 정도 기록되어 지기도 한다.

# cat messages

Jan 17 04:02:43 icscf syslogd 1.4.1: restart.
Jan 18 11:31:32 icscf ntpd[1825]: synchronized to 211.233.40.78, stratum 2
Jan 18 11:32:05 icscf ntpd[1825]: synchronized to 123.32.1.90, stratum 1
Jan 18 11:32:20 icscf ntpd[1825]: synchronized to 211.115.194.21, stratum 2
Jan 18 11:32:21 icscf ntpd[1825]: synchronized to 123.32.1.90, stratum 1
...

6. sulog : switch user(su 명령어) 관련 기록. 일반계정을 획득한 공격자는 su 명령을 이용하여 루트 권한으로 작업을 할 수 있다. 따라서 sulog를 조사하여 루트 권한으로 변환된 일반 사용자 계정이 있는지 살펴 보아야 함.

# cat sulog

SU 06/22 08:01 + pts/2 bbbb-aaaaa
SU 06/22 08:06 + pts/2 cccc-dddd.....

7. syslog : 메일 디버깅 정보.

8. utmp : 현재 로그인한 각 사용자의 기록, 바이너리 파일로 되어 있음.
(명령어 w., who, users, finger)

9. wtmp : 사용자의 로그인, 로그아웃 시간과 시스템의 종료 시간, 시스템 시작 시간 등을 기록, 바이너리 파일임. (last 명령으로 확인 가능)

10. Xferlog : FTP 서비스의 접근 기록