============================== 로그 CentOS 5.3 ==================================
secure
- /var/log/secure
- telnet,ssh에 대한 유저 로그인 인증 기록
- 명령어 cat secure | more
dmesg
- /var/log/dmesg
- 부팅시 기록되는 로그
- 명령어 dmesg
messages
- /var/log/messages
- 시스템 콘솔결과와 syslog에 의한 로그인/설정/장치 정보의 전체적인 로그를 기록
- 명령어 cat messages | more
syslog
- 커널로그, 심각한 에러 로그(
- /etc/syslog.conf 설정
- /var/log/syslog
utmp
- 현재 시스템에 로그인한 각 사용자의 상태를 출력
- /var/run/utmp
- 명령어 w, who, users, finger(79)
- 바이너리 파일
wtmp
- last -n 5 root -> root 사용자의 최근 접속정보 5개만 보여라
[root@localhost log]# last -n 5 root
root pts/1 192.168.133.1 Fri Nov 14 14:42 still logged in
root pts/1 192.168.133.1 Fri Nov 14 03:07 - down (00:00)
root pts/1 192.168.133.1 Fri Nov 14 02:56 - down (00:04)
root :0 Fri Nov 14 02:56 - down (00:04)
root :0 Fri Nov 14 02:56 - 02:56 (00:00) |
- /var/log/wtmp
- 로그인, 로그아웃, 시스템의 재부팅에 대한 정보를 담는다.
- 명령어 last 사용자명 , ex) last reboot
- 바이너리 파일
lastlog
- 계정 사용자들이 마지막으로 로그인한 정보
- /var/log/lastlog
- 명령어 lastlog
boot.log
- 부팅시 서비스 데몬들의 실행 상태를 기록
- /var/log/boot.log
- cat boot.log
cron
- 예약한 작업이 정상적으로 실행되는지 확인가능
- /var/log/cron
- 명령어 cat cron, crontab -l
xferlog
- FTP 서버의 데이터 전송관련 로그
- /var/log/xferlog
- 파일의 송수신 모드 ( a: 아스키파일, b: 바이너리파일)
- 특수 행위 플래그 (C:압축, U:비압축, T:Tar archive)
- 전송방향 (o:outgoing, i: ingoing)
- 로그인한 사용자 종류 ( a: anonymous, g:guest, r:패스워드인증된사용자)
anaconda
- 리눅스 설치시 installer 과정에 대한 로그
- /var/log/anaconda
- 명령어 cat anaconda.log | more
sulog
- su 명령어를 통한 관리자권한을 사용시 로그 기록
- /var/log/sulog sulog가 없다면 vi /etc/syslog.conf -> authpriv.info /var/log/sulog 설정변경후 ->
/etc/init.d/syslog reload (syslog가 설정파일을 다시 읽게한다.)
- 날짜 및 시간
- 성공/실패(+/-)
- From 사용자 To 사용자
- 사용한 터미널 이름
- su 로 접근 못하게 su 명령어를 rename 한다. 필요시 sudo 를 사용( /etc/sudoers )
acct, pacct (process account)
- 시스템에 로그인한 모든 사용자별로 수행한 프로그램의 정보, 명령어를 기록
- /var/account/pacct
- 명령어 lastcomm, acctcom
- 사용자별로 사용한 명령어를 구분하는데 유용하지만 그 명령어가 어느 파일시스템의 어느디렉토리에서 실행
되었는지 알 수 없어 공격자들의 행위를 추적하기엔 부족하다.
history
- 유저가 입력한 명령어 목록
- more /root/.bash_history
- pacct, acct와는 달리 공격자의 행위를 쉽게 알 수가 있다.
loginlog, btmp(바이너리)
- 실패한 로그인 시도를 기록
- /var/log/btmp
- 명령어 lastb