[Linux] 로그인 접속 정보 로그 확인하기

 

Linux 에 로그인할 때 접속 및 접속 실패 시 남는 정보 파일에 대해서 알아보겠습니다.

리눅스에서는 서버에 접속 실패 정보와 접속 정보를 기록하는데, 아래와 같은 명령어로 접속 로그를 확인할 수 있습니다.

1. /var/log/wtmp 파일

wtmp 파일은 Linux 시스템에서 로그인과 로그아웃과 같은 시스템 이벤트에 대한 정보를 기록하는 파일입니다.

wtmp은 "Who's Who"를 나타내며, 이 파일은 시스템에서 사용자 활동에 대한 기록을 유지합니다. 사용자의 로그인, 로그아웃, 재부팅 등의 활동이 포함됩니다.

• wtmp 파일은 이진 형식으로 저장되어 있다.
• wtmp 파일의 경로는 시스템에 따라 다를 수 있지만, /var/log/wtmp 경로에 저장되어있다.
• wtmp 파일을 확인하려면 last -f 명령을 통해서 확인 가능하다.

[root@localhost.localdomain:/root]$ last -f /var/log/wtmp
root     pts/15       192.168.17.28    Sat Mar 23 14:54   still logged in   
root     pts/14       192.168.17.28    Sat Mar 23 14:52   still logged in   
json     pts/13       192.168.17.28    Thu Mar 21 14:26   still logged in   
json     pts/12       192.168.17.28    Thu Mar 21 14:26   still logged in   
tas_tac  pts/11       192.168.17.28    Thu Mar 21 14:14   still logged in   
tas_tac  pts/10       192.168.17.28    Thu Mar 21 14:13   still logged in  

 

2. btmp 파일

btmp 파일은 Linux 시스템에서 실패한 로그인 시도에 대한 정보를 포함하는 파일입니다. 이 파일은 일반적으로 SSH 또는 다른 인증 메커니즘(예: 로컬 로그인)으로 인해 실패한 로그인 시도에 대한 정보를 기록합니다.

• btmp 파일은 이진 형식으로 저장되어 있다.
• btmp 파일의 경로는 시스템에 따라 다를 수 있지만, /var/log/btmp 경로에 저장되어있다.
• btmp 파일을 확인하려면 last -f 명령을 통해서 확인 가능하다.
• btmp 파일은 실패한 로그인 시도의 IP 주소, 시간, 사용자 이름 등과 같은 정보를 포함하고 있다.

[root@localhost.localdomain:/root]$ last -f /var/log/btmp
client10 ssh:notty    192.168.17.23    Wed Mar 20 17:20   still logged in   
client10 ssh:notty    192.168.17.23    Wed Mar 20 17:20 - 17:20  (00:00)    
json     ssh:notty    192.168.17.28    Tue Mar 19 14:58 - 17:20 (1+02:21)   
json     ssh:notty    192.168.17.28    Tue Mar 19 14:58 - 14:58  (00:00) 

 

3. utmp 파일

utmp 파일은 Unix 및 Unix 계열 운영 체제에서 사용자 로그인에 관한 정보를 기록하는 파일입니다. 이 파일은 현재 시스템에 로그인한 사용자에 대한 정보를 유지합니다.

utmp 파일은 다른 명령어들이 사용자 로그인 정보를 확인하는 데 사용하는 중요한 소스입니다. 예를 들어 who, w, last 등의 명령어들은 utmp 파일을 읽어서 사용자 로그인 정보를 표시합니다.

• utmp 파일의 경로는 시스템에 따라 다를 수 있지만, /var/run/utmp 경로에 위치하며, 사용자가 로그인하거나 로그아웃할 때마다 해당 파일이 업데이트된다.
• utmp 파일을 확인하려면 who, w, last 명령을 통해서 확인 가능하다.
• utmp 파일은 사용자 이름, 터미널 이름, 로그인 시간, 로그인 유형 등의 정보가 포함되어 있습니다.

[root@localhost.localdomain:/root]$ w
 15:14:18 up 4 days,  6:07, 16 users,  load average: 33.80, 34.76, 34.98
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/0    192.168.17.28    2    4days  0.12s  0.12s -bash
json     pts/1    192.168.17.28    3    4days 43:36   0.02s sshd: json 
tas_tac  pts/2    192.168.17.28    3    2days  1:20m  0.04s tbsql      
json     pts/3    192.168.17.28    3    4days  0.15s  0.02s sshd: json 
patchtes pts/4    192.168.17.28    3    2days 15days  0.01s tbsql      
json     pts/5    192.168.17.28    4    2days  0.06s  0.06s -bash
patchtes pts/6    192.168.17.28    5    3days  0.08s  0.05s ssh -p 2222
patchtes pts/7    192.168.17.28    5    3days  0.06s  0.03s ssh -p 1111
json     pts/13   192.168.17.28    紐4    2days  0.02s  0.02s -bash
root     pts/14   192.168.17.28    14:52   19:46   0.05s  0.05s -bash
root     pts/15   192.168.17.28    14:54    2.00s  0.03s  0.03s -bash
[root@localhost.localdomain:/root]$ who
root     pts/0        2024-03-19 12:32 (192.168.17.28)
json     pts/1        2024-03-19 13:12 (192.168.17.28)
tas_tac  pts/2        2024-03-19 13:13 (192.168.17.28)
json     pts/3        2024-03-19 13:20 (192.168.17.28)
patchtest pts/4        2024-03-19 13:34 (192.168.17.28)
json     pts/5        2024-03-19 14:58 (192.168.17.28)
patchtest pts/6        2024-03-19 15:43 (192.168.17.28)
patchtest pts/7        2024-03-19 15:45 (192.168.17.28)
client100 pts/8        2024-03-20 17:20 (192.168.17.23)
patchtest pts/9        2024-03-21 14:11 (192.168.17.28)
tas_tac  pts/10       2024-03-21 14:13 (192.168.17.28)
tas_tac  pts/11       2024-03-21 14:14 (192.168.17.28)
json     pts/12       2024-03-21 14:26 (192.168.17.