who 명령어 및 계정 보안

https://www.ibm.com/docs/en/aix/7.2?topic=w-who-command 불러오는 중입니다...

*who 명령어는 /etc/security에 권한이 일반계정으론 읽지못하기 때문에

/etc/security/failedlogin doesn't exist or isn't readable로 뜰것이나, default로 /etc/security/failedlogin 은 존재한다.

 

Usage : who [-AabdHilmpqrsTtuwX?] [am {i,I}] [file]

 

해당 옵션값에 대한 설명이 따로 나온다.

 

 

 

1)wtmp 파일 [/var/adm/wtmp]=last 또는 who /var/adm/wtmp 로 확인

 

처음부터 접속했던 모든 사용자의 로그인 및 로그아웃 정보를 갖고 있다.

해당 파일을 삭제해주지 않는다면 계속누적되어 정기적으로 백업을 받거나 아니면 불필요한 정보를 삭제해줘야 함

 

cat 으로 보면 안되고 binary 파일이기에 who로 확인한다.

 

 

 

linux에서의 cat /var/log/wtmp 꺠짐 현상

last | more = who /var/adm/wtmp 매달 보안점검이 있고 이번달만 분류해서 보려면

 

last | head 로 대략 파악하거나 last | head -n 50

last | head -n 50 |egrep -i mar

last | head -n 50 |egrep -i mar |wc -l 로 좁혀서 갯수를 파악한다.

 

last는 가장최근의 접속 기록이 head로 쌓인다.

 

 

 

2)failedlogin 파일 [/etc/security/failedlogin]=who  명령어

 

who /etc/security/failedlogin |tail -n 15 |egrep -i jan |wc -l
who /etc/security/failedlogin |tail -n 15 |egrep -i mar |wc -l

 

login 했을 때 실패한 기록을 나타내는 로그이며, who 명령어로 확인해야 한다.

 

해당 명령어에 대한 결과는 최근파일이 tail로 조회되며 날짜는 따로 분류하여 다음과 같이 확인할 수 있다.

 

infraleesahy   ssh          Mar  03 19:38    (해당 접속한 IP)

UNKNOWN_  ssh          Mar  03 19:38    (해당 접속한 IP)

UNKNOWN_으로 뜬 경우엔 계정 접속한 사람은 누구인지 알수 없으나, 해당 개인 IP를 통해 확인가능하다.