https://www.ibm.com/docs/en/aix/7.2?topic=w-who-command 불러오는 중입니다...
*who 명령어는 /etc/security에 권한이 일반계정으론 읽지못하기 때문에
/etc/security/failedlogin doesn't exist or isn't readable로 뜰것이나, default로 /etc/security/failedlogin 은 존재한다.
Usage : who [-AabdHilmpqrsTtuwX?] [am {i,I}] [file]
해당 옵션값에 대한 설명이 따로 나온다.
1)wtmp 파일 [/var/adm/wtmp]=last 또는 who /var/adm/wtmp 로 확인
처음부터 접속했던 모든 사용자의 로그인 및 로그아웃 정보를 갖고 있다.
해당 파일을 삭제해주지 않는다면 계속누적되어 정기적으로 백업을 받거나 아니면 불필요한 정보를 삭제해줘야 함
cat 으로 보면 안되고 binary 파일이기에 who로 확인한다.
last | more = who /var/adm/wtmp 매달 보안점검이 있고 이번달만 분류해서 보려면
last | head 로 대략 파악하거나 last | head -n 50
last | head -n 50 |egrep -i mar
last | head -n 50 |egrep -i mar |wc -l 로 좁혀서 갯수를 파악한다.
last는 가장최근의 접속 기록이 head로 쌓인다.
2)failedlogin 파일 [/etc/security/failedlogin]=who 명령어
who /etc/security/failedlogin |tail -n 15 |egrep -i jan |wc -l
who /etc/security/failedlogin |tail -n 15 |egrep -i mar |wc -l
login 했을 때 실패한 기록을 나타내는 로그이며, who 명령어로 확인해야 한다.
해당 명령어에 대한 결과는 최근파일이 tail로 조회되며 날짜는 따로 분류하여 다음과 같이 확인할 수 있다.
infraleesahy ssh Mar 03 19:38 (해당 접속한 IP)
UNKNOWN_ ssh Mar 03 19:38 (해당 접속한 IP)
UNKNOWN_으로 뜬 경우엔 계정 접속한 사람은 누구인지 알수 없으나, 해당 개인 IP를 통해 확인가능하다.
'OS Unix [IBM aix] > 계정 및 보안' 카테고리의 다른 글
/etc/security/failedlogin , last , /var/adm/sulog, /var/adm/sudo.log (0) | 2022.06.27 |
---|---|
프롬프트 수정 방법 및 /home/일반계정/.profile (0) | 2022.06.05 |
계정 생성 및 삭제, 계정 속성 변경 (0) | 2022.04.18 |