보안로그

GENERAL/Security2018. 10. 3. 23:09
반응형


su 명령이 실행되면 /var/adm/sulog에 다음 항목의 switch user의 기록이 남는다

- su 명령을 실행한 날짜와 시간

- su 명령이 실행된 터미널

- 그 명령을 실행한 계정

- 사용자가 변경을 시도한 계정


만약 권한 없는 su를 시도한다면 해킹을 의심해봐야 한다


1
2
3
4
5
6
7
8
9
# cat /var/adm/sulog
 
SU 07/07 18:45 + pts/2 approot-webroot
SU 07/08 13:32 - pts/2 webroot-root
SU 07/10 15:23 + pts/4 root-toms
SU 03/12 10:58 + pts/9 root-indigo
SU 05/31 14:25 + pts/5 root-test1
SU 05/31 17:11 + pts/5 root-webroot
SU 06/23 15:26 + pts/5 webroot-search
cs



보안 로그


사용자가 로그인에 성공하면 로그인 기록이 /var/adm/wtmp에 기록되고, 현재 로그인 되어 있는 사용자는 /etc/utmp에 기록된다. 

이들 파일은 바이너리 파일로 해당 내용을 보기 위해서는 who 명령어를 사용한다


1
2
3
4
5
6
7
8
9
10
11
12
13
# who /etc/utmp
 
root        pts/1        4월 30일 09:2   (mycom)
root        pts/4        4월 30일 09:3   (mycom)
root        pts/5        4월 30일 09:5   (172.22.*.*)
 
 
 
# who /var/adm/wtmp
 
fedev       ftp1867934   4월  1일 09:1   (172.22.*.*)
root        pts/1        4월  1일 09:1   (mycom)
fidev       ftp1867936   4월  1일 09:2   (172.22.*.*)
cs



반응형
저작자표시 비영리 변경금지
Posted by 정병욱

티스토리툴바