안녕하세요. 리눅스/유닉스 로그 파일명과 그 역할에 대해서 공유드립니다. 업무보실 때 가볍게 참고하시면 될 것 같습니다.
messages : 로그인 기록 / 세션 기록 / 커널 오류 등 시스템 전반적인 내용 확인가능
- 보안사고 발생 시 가장 먼저 분석하게 되는 파일
sulog : 일반 사용자가 슈퍼유저로 변환 시도 확인가능
- 슈퍼유저가 된 공격자가 이 파일을 가만히 냅둘꺼라고는 생각되지 않지만..
- sulog를 분석함으로써 백도어 기동의 단서를 잡을 수도 있음
btmp : 접속 실패 기록 확인가능
- bad login attempt의 약어로, 5번 이상 비밀번호를 틀릴 경우 아이디 해킹 시도로 간주되어 위 파일에 기록됨
- 접속 시도 ID / 실패 시간 / source 주소가 존재함.
- 솔라리스의 경우 loginlog 파일이 같은 역할을 함.
utmp : 현재 시스템에 로그인한 사용자의 상태 확인가능
- 사용자 이름, 터미널 장치 이름, 원격 로그인을 한 경우 원격 호스트 이름, 로그인 시간 등이 표출
wtemp : 사용자의 로그인, 로그아웃 시간과 시스템 종료시간, 재부팅까지 확인가능
history : 각 사용자별로 명령어창에 실행했던 명령 내역 확인가능
secure : TELNET, SSH 등 원격접속에서 발생한 인증 정보 확인가능
xferlog : ftp 송수신 내역 확인가능
- 송수신 자료, 시간, 파일이름, 크기 + 송수신을 수행한 원격 호스트를 확인할 수 있음
감사합니다.
