관리 메뉴

플랫폼공작소 IT Blog

CERT를 위한 리눅스/유닉스 로그 파일 설명 본문

정보보안/모의해킹

CERT를 위한 리눅스/유닉스 로그 파일 설명

솜픽(Sompic) 플랫폼공작소 2020. 5. 12. 14:34

안녕하세요. 리눅스/유닉스 로그 파일명과 그 역할에 대해서 공유드립니다. 업무보실 때 가볍게 참고하시면 될 것 같습니다.



messages : 로그인 기록 / 세션 기록 / 커널 오류 등 시스템 전반적인 내용 확인가능

보안사고 발생 시 가장 먼저 분석하게 되는 파일


sulog : 일반 사용자가 슈퍼유저로 변환 시도 확인가능

- 슈퍼유저가 된 공격자가 이 파일을 가만히 냅둘꺼라고는 생각되지 않지만..

sulog를 분석함으로써 백도어 기동의 단서를 잡을 수도 있음


btmp : 접속 실패 기록 확인가능

- bad login attempt의 약어로, 5번 이상 비밀번호를 틀릴 경우 아이디 해킹 시도로 간주되어 위 파일에 기록됨

- 접속 시도 ID / 실패 시간 / source 주소가 존재함.

- 솔라리스의 경우 loginlog 파일이 같은 역할을 함.


utmp : 현재 시스템에 로그인한 사용자의 상태 확인가능

- 사용자 이름, 터미널 장치 이름, 원격 로그인을 한 경우 원격 호스트 이름, 로그인 시간 등이 표출


wtemp : 사용자의 로그인, 로그아웃 시간과 시스템 종료시간, 재부팅까지 확인가능


history : 각 사용자별로 명령어창에 실행했던 명령 내역 확인가능


secure : TELNET, SSH 등 원격접속에서 발생한 인증 정보 확인가능


xferlog : ftp 송수신 내역 확인가능

- 송수신 자료, 시간, 파일이름, 크기 + 송수신을 수행한 원격 호스트를 확인할 수 있음


감사합니다.

0 Comments
댓글쓰기 폼