"리눅스 패스워드 털렸는지 확인하기"의 두 판 사이의 차이

잔글 (봇: 자동으로 텍스트 교체 (-==참고 자료== +==참고==))
 
(사용자 3명의 중간 판 10개는 보이지 않습니다)
5번째 줄: 5번째 줄:
;명령어
;명령어
<source lang='bash'>
<source lang='bash'>
cat /var/log/secure.* | grep Accepted | awk '{print $9"\t"$11"\t"$14}' | sort | uniq
cat /var/log/secure* | grep Accepted | awk '{print $9"\t"$11"\t"$14}' | sort | uniq
</source>
</source>


;실행예시
;실행예시
<source lang='dos'>
<source lang='console'>
[root@jmnote ~]# cat /var/log/secure.* | grep Accepted | awk '{print $9"\t"$11"\t"$14}' | sort | uniq
[root@zetawiki ~]# cat /var/log/secure* | grep Accepted | awk '{print $9"\t"$11"\t"$14}' | sort | uniq
root 113.157.124.168 ssh2
root 113.157.124.168 ssh2
root 135.79.246.80 ssh2
root 135.79.246.80 ssh2
21번째 줄: 21번째 줄:
;명령어
;명령어
<source lang='bash'>
<source lang='bash'>
cat /var/log/secure.* | gerp Acceptd | egrep -v "(아이피|아이피|아이피…)"
cat /var/log/secure* | grep Accepted | egrep -v "(아이피|아이피|아이피…)"
</source>
</source>


;실행예시
;실행예시
<source lang='dos'>
<source lang='console'>
[root@jmnote ~]# cat /var/log/secure.* | grep Accepted | egrep -v "(135.79.246.80|113.157.124.168)"
[root@zetawiki ~]# cat /var/log/secure* | grep Accepted | egrep -v "(135.79.246.80|113.157.124.168)"
</source>
</source>
:→ 135.79.246.80와 113.157.124.168 이외의 곳에서 패스워드를 맞춘 적이 있는지 확인해보니 없다.
:→ 135.79.246.80와 113.157.124.168 이외의 곳에서 패스워드를 맞춘 적이 있는지 확인해보니 없다.


==참고 자료==
==참고==
*[[Fail2ban 로그 침입시도 아이피 확인]]
*[[Fail2ban 로그 침입시도 아이피 확인]]
*[[특정 IP만 SSH 접속 허용하기]]
*[[특정 IP만 SSH 접속 허용하기]]
*[[리눅스 접속 기록 확인하기]]
*[[리눅스 접속 기록 확인하기]]
*[[/var/log/secure]]
*[[/var/log/secure]]
*[[리눅스 tripwire]]


==주석==
==주석==
40번째 줄: 41번째 줄:


[[분류: 리눅스 계정]]
[[분류: 리눅스 계정]]
[[분류: 보안]]
[[분류: 리눅스 보안]]
[[분류: fail2ban]]

2017년 7월 11일 (화) 04:25 기준 최신판

리눅스 패스워드 털렸는지 확인하기
리눅스 로그인 성공한 아이피 목록 보기

1 방법 1: 로그인 성공한 아이피 목록 보기[ | ]

명령어
cat /var/log/secure* | grep Accepted | awk '{print $9"\t"$11"\t"$14}' | sort | uniq
실행예시
[root@zetawiki ~]# cat /var/log/secure* | grep Accepted | awk '{print $9"\t"$11"\t"$14}' | sort | uniq
root	113.157.124.168	ssh2
root	135.79.246.80	ssh2
→ 113.157.124.168 과 135.79.246.80에서 ssh2 방식으로 root 로그인 성공하엿음
→ 목록에 이상한 아이피가 있다면... ㅎㄷㄷ

침입자는 주로 root 계정으로 로그인을 시도한다.[1]

2 방법 2: 아이피 grep[ | ]

명령어
cat /var/log/secure* | grep Accepted | egrep -v "(아이피|아이피|아이피…)"
실행예시
[root@zetawiki ~]# cat /var/log/secure* | grep Accepted | egrep -v "(135.79.246.80|113.157.124.168)"
→ 135.79.246.80와 113.157.124.168 이외의 곳에서 패스워드를 맞춘 적이 있는지 확인해보니 없다.

3 참고[ | ]

4 주석[ | ]

  1. root가 가장 잘 알려진 계정명이기 때문. 매우 어려운 패스워드를 지정. 물론 필자는 A4 1쪽 분량의 패스워드를 사용한다. (뻥) 어쨌든 충분히 긴 패스워드를 사용하는 게 좋다. 직접 로그인을 막고 Wheel계정을 사용하는 방법, SSH 포트를 바꾸는 방법 등도 있다.
문서 댓글 ({{ doc_comments.length }})
{{ comment.name }} {{ comment.created | snstime }}