/etc/security/failedlogin , last , /var/adm/sulog, /var/adm/sudo.log

1) 접속 LOG 항목 : 정상적인 SSH 접속 및 Cron에 의한 계정 정상 성공(Accepted password)의 총 합계
점검 방법 :  Access log

 

last 명령어 활용(/var/adm/wtmp 경로)
#last |grep -i feb
해당 명령어 수행 결과 : 이번년도 2월(Feb 01~22일)로 한정해서 
작년 이전의 기록은 년도가 포함되어 있지 않으므로 2022년 기준으로 서버마다 갯수 파악

 

 

2) 접속 실패 LOG : 접속이 실패(Failed Password) 총 합계
점검 방법 : Failedlogin log
#who /etc/security/failedlogin

 

cat 명령어로 보는 것이 아니다.

파일을 자세하게 ls 명령어로 확인해보면 해당 파일에  binary ?적인 내용도 담겨 있으므로 그래서 글자가 깨져보이는 이유다.

물론 일반계정으로 읽을 수 없게 뜬다.

#who /etc/security/failedlogin

who : 0551-014 /etc/security/failedlogin either does not exist or is not readable.

Usage : who [-AabdHilmpqrsTtuwX?] [am {i,I}] [utmp_like_file]

     

-A	Accounting entries
-a	All (AbdHlprTtu) options
-b	Boot time
-d	Dead processes
-H	Display a Header (title)
-l	Login processes
-m	Information about current terminal (same as 'am i')
-p	Processes other than getty or user process
-q	Quick(only user and host name)
-r	Run level
-s	Short form(suppress Activity and PID)
-T,w	Status of tty (+ writable, - not writable, x exclusive open, ? no response)
-t	Time changes
-u, i	Activity and PID of shell
-X	Expanded user names

 

 

 

 

 

#ls -alrt /etc/security/failedlogin

-rw-r-----   1  root   system   442321     Oct 22  15:55   /etc/security/failedlogin

 

who /etc/security/failedlogin | more

who /etc/security/failedlogin |tail -n 20
who /etc/security/failedlogin |tail -n 15 |egrep -i feb |wc -l

 

2월(Feb) 을 한정으로 했을 때 뒤에 붙여가며, 최대한 끝(tail) 부분에 온 명령어 결과값들이 최신값으로 업데이트 된다.

 

 

3)접속 User 변경 : SSH 접속 상태에서 su – 스위칭 시도 및 Cron에 의한 su – 시도 건 수 총 합계
점검 방법 : sulog

cat /var/adm/sulog |grep -v root |wc -l
: root를 제외한 su(Switching User) 기록 갯수 파악

4) Command 점검 : SUDO 정책에 허용되지 않는 명령어(command not allowed) 총 합계)
점검 방법 : sudo.log

cat /var/adm/sudo.log |grep -E 'Feb.*2022.*allowed' |wc -l