[ETC] SSH 접속 로그 확인

 

안녕하세요. 이번 포스팅은 SSH 접속 로그 이력 확인 방법에 대해서 작성하였습니다.

last 명령어를 이용하여 /var/log/auth.log 로그확인이 가능합니다. 

1. -n: 보여줄 로그인 기록의 행 수를 지정합니다. 예를 들어, last -n 10은 마지막 10개의 로그인 기록만 표시합니다.
2. -a: 모든 로그인/로그아웃 활동을 표시합니다. 이 옵션을 사용하지 않으면 성공적인 로그인만 표시됩니다.
3. -i: IP 주소를 표시합니다.
4. -F: 특정 형식의 출력을 사용합니다. 이 옵션은 출력을 기계 판독 가능한 형식으로 변경합니다.

이러한 경우는 많은 로그들이 있어 보기 힘든 경향이 있습니다.

1. 정상 로그 확인

last -f /var/log/wtmp

/var/log/wtmp에 정상적인 로그만 확인 가능합니다.

2. 실패 로그 확인

last -f /var/log/btmp

/var/log/btmp에 정상적인 로그만 확인 가능합니다.

위처럼 ssh 포트를 외부에 오픈하게 되면 root로 공격을 확인 할 수 있습니다. 이와 관련하여 ssh 접속에 따른 접근제한을 설정 가능합니다.  

3.SSH root 접근 제한

vi /etc/ssh/sshd_config

vi 편집기를 이용 하여 해당 ssh 설정 파일을 수정합니다.

PermitRootLogin no

rootLogin을 no로 설정합니다.

systemctl restart sshd

ssh를 재시작합니다. 해당 권한이 부족한경우 sudo 옵션을 추가하여 설정하시면 됩니다.

 

이번 포스팅은 여기서 마치겠습니다. 궁금하신 점이나 잘못된 점은 메일 또는 댓글에 남겨 주시면 수정 또는 답변드리도록 하겠습니다. 감사합니다.