Rocky Linux 기반 보안 로그 확인하는 방법

1. SSH 로그인 시도 확인

SSH 로그인 관련 로그는 /var/log/secure 파일에 기록됩니다.

✅ 최근 로그인 시도 확인

sudo cat /var/log/secure | grep "sshd"

sudo journalctl -u sshd --no-pager

✅ 실패한 로그인 시도 확인

sudo cat /var/log/secure | grep "Failed password"

✅ 성공한 로그인 시도 확인

sudo cat /var/log/secure | grep "Accepted password"

✅ 특정 사용자 로그인 시도 확인

sudo cat /var/log/secure | grep "username"

2. 최근 로그인한 사용자 확인

last

또는

last -a | head -20

(최근 20개 로그 출력)

3. 현재 접속 중인 사용자 확인

who

또는

w

4. sudo 명령어 사용 기록 확인

sudo cat /var/log/secure | grep "sudo"

5. 사용자 인증 관련 로그 확인

PAM (Pluggable Authentication Module) 관련 로그도 /var/log/secure에서 확인할 수 있습니다.
예를 들어, 루트 계정으로의 직접 로그인 시도 확인:

sudo cat /var/log/secure | grep "root"

6. iptables (방화벽) 로그 확인

방화벽이 차단한 접근 시도를 확인하려면 /var/log/messages를 확인해야 합니다.

sudo cat /var/log/messages | grep "iptables"

또는

sudo journalctl -u firewalld --no-pager

7. SELinux 보안 로그 확인

SELinux가 보안 정책 위반을 감지한 로그는 /var/log/audit/audit.log에 저장됩니다.

sudo cat /var/log/audit/audit.log | grep "denied"

8. 시스템 전체 로그 확인

시스템에서 발생한 다양한 보안 관련 로그는 /var/log/messages에서 확인 가능

sudo cat /var/log/messages | grep "error"

또는

sudo journalctl -xe

9. root 계정으로 직접 로그인 시도 확인

sudo cat /var/log/secure | grep "root"

10. 포트 스캔 탐지 로그 확인

네트워크 스캔이나 포트 스캔 시도는 fail2ban 또는 iptables 로그에서 확인 가능

sudo cat /var/log/messages | grep "Dropped"

11. 웹 서버 접근 로그 확인 (Apache/Nginx)

• Apache

 

sudo cat /var/log/httpd/access_log sudo cat /var/log/httpd/error_log

• Nginx

 

sudo cat /var/log/nginx/access.log sudo cat /var/log/nginx/error.log

12. FTP 로그인 시도 확인

vsftpd 같은 FTP 서버가 있다면 /var/log/secure에서 확인

sudo cat /var/log/secure | grep "ftp"

13. 특정 시간대 보안 로그 확인

예를 들어, 지난 1시간 동안의 SSH 로그인 시도 확인:

sudo journalctl -u sshd --since "1 hour ago"

오늘 발생한 보안 이벤트 확인:

sudo journalctl --since today | grep "sshd"

추가 TIP

보안 로그를 보다 체계적으로 관리하려면 fail2ban이나 logwatch를 활용하는 것도 추천됨.

sudo yum install fail2ban -y sudo systemctl enable fail2ban --now

이렇게 설정하면 특정 IP에서 반복적으로 로그인 시도 시 차단 가능.