Gooday Note Scrap Source Android login
 
작성일 : 14-03-27 14:42
centos 로그 분석
 글쓴이 : 기리 (123.♡.195.24)
조회 : 2,970  
   http://blog.naver.com/PostView.nhn?blogId=battledocho&logNo=5009308286… [603]
   http://blog.naver.com/PostView.nhn?blogId=nban38&logNo=30123068776 [526]

============================== 로그 CentOS 5.3 ==================================

 

 

secure

- /var/log/secure

- telnet,ssh에 대한 유저 로그인 인증 기록

- 명령어 cat secure | more

 

dmesg

- /var/log/dmesg

- 부팅시 기록되는 로그

- 명령어 dmesg

 

messages

- /var/log/messages

- 시스템 콘솔결과와 syslog에 의한 로그인/설정/장치 정보의 전체적인 로그를 기록

- 명령어 cat messages | more

 

syslog

- 커널로그, 심각한 에러 로그(

- /etc/syslog.conf 설정

- /var/log/syslog

 

utmp

- 현재 시스템에 로그인한 각 사용자의 상태를 출력

- /var/run/utmp

- 명령어 w, who, users, finger(79)

- 바이너리 파일

 

wtmp

 

 

- last -n 5 root -> root 사용자의 최근 접속정보 5개만 보여라

[root@localhost log]# last -n 5 root

root pts/1 192.168.133.1 Fri Nov 14 14:42 still logged in

root pts/1 192.168.133.1 Fri Nov 14 03:07 - down (00:00)

root pts/1 192.168.133.1 Fri Nov 14 02:56 - down (00:04)

root :0 Fri Nov 14 02:56 - down (00:04)

root :0 Fri Nov 14 02:56 - 02:56 (00:00)

- /var/log/wtmp

- 로그인, 로그아웃, 시스템의 재부팅에 대한 정보를 담는다.

- 명령어 last 사용자명 , ex) last reboot

- 바이너리 파일

   

lastlog

- 계정 사용자들이 마지막으로 로그인한 정보

- /var/log/lastlog

- 명령어 lastlog

 

boot.log

- 부팅시 서비스 데몬들의 실행 상태를 기록

- /var/log/boot.log

- cat boot.log

 

cron

- 예약한 작업이 정상적으로 실행되는지 확인가능

- /var/log/cron

- 명령어 cat cron, crontab -l

 

xferlog

- FTP 서버의 데이터 전송관련 로그

- /var/log/xferlog

- 파일의 송수신 모드 ( a: 아스키파일, b: 바이너리파일)

- 특수 행위 플래그 (C:압축, U:비압축, T:Tar archive)

- 전송방향 (o:outgoing, i: ingoing)

- 로그인한 사용자 종류 ( a: anonymous, g:guest, r:패스워드인증된사용자)

 

anaconda

- 리눅스 설치시 installer 과정에 대한 로그

- /var/log/anaconda

- 명령어 cat anaconda.log | more

 

 

sulog

- su 명령어를 통한 관리자권한을 사용시 로그 기록

- /var/log/sulog sulog가 없다면 vi /etc/syslog.conf -> authpriv.info /var/log/sulog 설정변경후 ->

/etc/init.d/syslog reload (syslog가 설정파일을 다시 읽게한다.)

- 날짜 및 시간

- 성공/실패(+/-)

- From 사용자 To 사용자

- 사용한 터미널 이름

- su 로 접근 못하게 su 명령어를 rename 한다. 필요시 sudo 를 사용( /etc/sudoers )

 

acct, pacct (process account)

- 시스템에 로그인한 모든 사용자별로 수행한 프로그램의 정보, 명령어를 기록

- /var/account/pacct

- 명령어 lastcomm, acctcom

- 사용자별로 사용한 명령어를 구분하는데 유용하지만 그 명령어가 어느 파일시스템의 어느디렉토리에서 실행

되었는지 알 수 없어 공격자들의 행위를 추적하기엔 부족하다.

 

history

- 유저가 입력한 명령어 목록

- more /root/.bash_history

- pacct, acct와는 달리 공격자의 행위를 쉽게 알 수가 있다.

 

loginlog, btmp(바이너리)

- 실패한 로그인 시도를 기록

- /var/log/btmp

- 명령어 lastb