[시스템 보안] 시스템 로그 관리 기출문제

문제)

공격자의 흔적을 발견하고 그 행위를 추적하기 위해 Unix , Linux, Solaris운영체제

사용자로그를 분석할 경우 해당 로그 파일명을 쓰시오

Unix = /var/adm

Linux = /var/log

㉮ 각 사용자의 가장 최근 로그인 했던 시간을 기록

/var/adm/lastlog

Unix 각 사용자들의 최근 로그인 시간과 접근한 소스 호스트에 대한 정보가 저장되는 파일

㉯ su 명령을 사용한 경우 발생하는 기록

/var/adm/sulog

Unix su 명령어를 사용한 경우 변경 전 사용자 계정과 변경 후 사용자 계정 및 시간 정보가 저장되는 파일

㉰ 실패한 로그인 시도 기록

/var/adm/loginlog

Solaris에서 5회 이상 실패한 로그인의 실패한 정보가 저장되는 파일

 

그외

/var/adm/messages

시스템에 전반적인 로그 기록 정보가 저장되는 파일

/var/adm/utmpx

who 명령어가 참조하는 로그 파일, 현재 사용자에 대한 정보가 저장되는 파일

/var/adm/wtmpx

last명령어가 참조하는 로그 파일, 사용자의 로그인/로그아웃의 정보가 저장되는 파일

/var/cron/log

cron 데몬의 로그 기록, crontab 명령어 성공/실패 스케쥴링 기록 정보가 저장되는 파일

/var/log/syslog

매일 기록을 남기는 로그 기록 정보가 저장되는 파일

/var/log/authlog

로그 인증 정보가 저장하는 파일

/var/log/xferlog

리눅스의 FTP 로그 파일로서 proftpd 또는 vsftpd 데몬들의 서비스 내역을 기록하는 파일 이며 FTP로 로그인하는 사용자에 대한 내역, 파일을 업로드/ 다운로드 내역을 기록 정보가 저장되는 파일

/var/svc/log/<service>.log

각 서비스 실행 로그 기록 정보가 저장되는 파일

/var/adm/wtmp

사용자 로그인, 로그아웃 정보 및 시스템의 shutdown, booting 정보를 가진 파일 last 명령어로 정보 확인하며 last ID는 해당ID에대한 정보를 저장하는 파일

/var/adm/btmp

5번 이상 로그인 실패를 했을 경우에 로그인 실패 기록 정보를 저장하는 파일 lastb 명령어 사용