웹사이트 검색

Ubuntu에서 시스템 인증 로그를 모니터링하는 방법

시스템 로그인을 모니터링하는 방법

인증 관리의 기본 구성 요소는 사용자를 구성한 후 시스템을 모니터링하는 것입니다.

Ubuntu 22.04 서버에서 이러한 개념을 살펴보겠지만 모든 최신 Linux 배포판에서 따라할 수 있습니다. Ubuntu 22.04의 초기 서버 설정 가이드에 따라 이 자습서용 Ubuntu 22.04 서버를 설정할 수 있습니다.

인증 시도 검토

최신 Linux 시스템은 모든 인증 시도를 개별 파일에 기록합니다. 이것은 /var/log/auth.log에 있습니다. less를 사용하여 이 파일을 볼 수 있습니다.

  1. sudo less /var/log/auth.log



Output
May  3 18:20:45 localhost sshd[585]: Server listening on 0.0.0.0 port 22.
May  3 18:20:45 localhost sshd[585]: Server listening on :: port 22.
May  3 18:23:56 localhost login[673]: pam_unix(login:session): session opened fo
r user root by LOGIN(uid=0)
May  3 18:23:56 localhost login[714]: ROOT LOGIN  on '/dev/tty1'
Sep  5 13:49:07 localhost sshd[358]: Received signal 15; terminating.
Sep  5 13:49:07 localhost sshd[565]: Server listening on 0.0.0.0 port 22.
Sep  5 13:49:07 localhost sshd[565]: Server listening on :: port 22.
. . .

파일 보기를 마치면 q를 사용하여 less를 종료할 수 있습니다.

\마지막\ 명령을 사용하는 방법

일반적으로 가장 최근의 로그인 시도에만 관심이 있습니다. 마지막 도구로 다음을 볼 수 있습니다.

  1. last



Output
demoer   pts/1        rrcs-72-43-115-1 Thu Sep  5 19:37   still logged in   
root     pts/1        rrcs-72-43-115-1 Thu Sep  5 19:37 - 19:37  (00:00)    
root     pts/0        rrcs-72-43-115-1 Thu Sep  5 19:15   still logged in   
root     pts/0        rrcs-72-43-115-1 Thu Sep  5 18:35 - 18:44  (00:08)    
root     pts/0        rrcs-72-43-115-1 Thu Sep  5 18:20 - 18:20  (00:00)    
demoer   pts/0        rrcs-72-43-115-1 Thu Sep  5 18:19 - 18:19  (00:00)

이는 다른 파일인 /etc/log/wtmp에 저장된 형식화된 버전의 정보를 제공합니다.

첫 번째와 세 번째 줄로 판단하면 사용자는 현재 시스템에 로그인되어 있습니다. 이미 닫힌 다른 세션 동안 시스템에 로그인하는 데 소요된 총 시간은 하이픈으로 구분된 값 세트로 제공됩니다.

\lastlog\ 명령을 사용하는 방법

lastlog 명령을 사용하여 시스템의 각 사용자가 마지막으로 로그인한 시간을 볼 수도 있습니다.

이 정보는 /etc/log/lastlog 파일에 액세스하여 제공됩니다. 그런 다음 /etc/passwd 파일의 항목에 따라 정렬됩니다.

  1. lastlog



Output
Username         Port     From             Latest
root             pts/1    rrcs-72-43-115-1 Thu Sep  5 19:37:02 +0000 2013
daemon                                     **Never logged in**
bin                                        **Never logged in**
sys                                        **Never logged in**
sync                                       **Never logged in**
games                                      **Never logged in**
. . .

시스템의 모든 사용자의 최근 로그인 시간을 볼 수 있습니다.

시스템 사용자가 거의 모두 **Never login**을 갖게 되는 방법에 주목하십시오. 이러한 시스템 계정 중 다수는 직접 로그인하는 데 사용되지 않으므로 이는 정상입니다.

결론

Linux에서 사용자 인증은 비교적 유연한 시스템 관리 영역입니다. 널리 사용되는 도구를 사용하여 동일한 목표를 달성하는 방법에는 여러 가지가 있습니다.

사용자의 사용량을 반영하지 않는 변경 사항에 대해 서버를 모니터링할 수 있도록 시스템에서 로그인에 대한 정보를 보관하는 위치를 이해하는 것이 중요합니다.

다음으로 시스템 사용자를 추가하고 삭제하는 방법을 배울 수 있습니다.