Rocky Linux에서 SSH 로그 확인하는 방법
Rocky Linux에서 SSH 로그를 확인하는 것은 보안 및 시스템 관리를 위해 매우 중요합니다. SSH 로그인 기록을 확인하면 누가 시스템에 접근했는지, 실패한 로그인 시도가 있었는지 등을 파악할 수 있습니다. 이번 글에서는 SSH 로그 확인 방법과 보안 강화를 위한 팁을 소개합니다.
1. SSH 로그 파일 위치
Rocky Linux에서 SSH 관련 로그는 /var/log/secure 파일에 저장됩니다. 해당 파일을 열어보면 로그인 기록, 실패한 로그인 시도, 인증 방식 등의 정보를 확인할 수 있습니다.
SSH 로그 파일 확인 명령어
sudo cat /var/log/secure보다 편리하게 특정 정보를 검색하려면 grep 명령어를 사용할 수 있습니다.
2. SSH 로그인 기록 확인
모든 SSH 로그인 시도 확인
sudo grep "sshd" /var/log/secure성공한 SSH 로그인 확인
sudo grep "Accepted" /var/log/secure출력 예시:
Mar 10 12:30:45 server sshd[1234]: Accepted password for user1 from 192.168.1.100 port 55555 ssh2실패한 SSH 로그인 확인 (무차별 대입 공격 탐지)
sudo grep "Failed" /var/log/secure특정 IP에서 반복된 실패 로그인을 확인하려면 다음 명령어를 사용합니다.
sudo grep "Failed password" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | head -20특정 IP에서 반복적으로 실패한 로그인 시도가 있다면, 방화벽 설정을 통해 차단을 고려해야 합니다.
3. 특정 사용자 또는 IP의 SSH 기록 확인
특정 사용자 SSH 로그인 기록 확인
sudo grep "username" /var/log/secureusername을 실제 사용자명으로 변경하세요.
특정 IP에서의 SSH 접속 확인
sudo grep "192.168.1.100" /var/log/secure192.168.1.100을 원하는 IP 주소로 변경하세요.
4. 실시간 SSH 로그 모니터링
SSH 로그인 시도를 실시간으로 확인하려면 tail -f 명령어를 사용합니다.
sudo tail -f /var/log/secure5. 최근 로그인 사용자 확인
최근 로그인한 사용자를 확인하려면 last 명령어를 사용할 수 있습니다.
last -a | grep "pts"pts는 원격 SSH 세션을 의미합니다.
6. root 사용자 SSH 로그인 기록 확인
sudo grep "Accepted" /var/log/secure | grep "root"root 계정으로 직접 로그인한 기록을 확인할 수 있습니다.
7. SSH 포트 변경 여부 확인
기본 SSH 포트(22)에서 변경되었는지 확인하려면 설정 파일을 확인합니다.
sudo cat /etc/ssh/sshd_config | grep "Port"보안 강화를 위해 SSH 포트를 기본값(22)에서 변경하는 것이 좋습니다.
8. SSH 보안 강화 방법
SSH 접속 보안을 강화하기 위해 다음 방법을 고려할 수 있습니다.
1) 비밀번호 로그인 대신 SSH 키 사용
ssh-keygen -t rsa2) root 사용자 직접 로그인 차단
파일 /etc/ssh/sshd_config을 열어 아래와 같이 설정합니다.
PermitRootLogin no설정 변경 후 SSH 서비스를 재시작합니다.
sudo systemctl restart sshd3) Fail2Ban을 사용하여 SSH 공격 방어
sudo dnf install fail2ban -y
sudo systemctl enable --now fail2ban4) 방화벽에서 SSH 접근 제한
sudo firewall-cmd --add-service=ssh --permanent
sudo firewall-cmd --reload5) 기본 포트(22) 변경
/etc/ssh/sshd_config 파일에서 Port 값을 변경하고 방화벽에서 새 포트를 허용합니다.
sudo firewall-cmd --add-port=2222/tcp --permanent
sudo firewall-cmd --reload마무리
Rocky Linux에서 SSH 로그를 확인하는 것은 서버 보안을 유지하는 데 매우 중요한 과정입니다. 위에서 소개한 방법을 활용하여 SSH 접속 기록을 모니터링하고, 보안을 강화하여 시스템을 안전하게 보호하세요.
'IT > Linux' 카테고리의 다른 글
| 리눅스 user-runtime-dir01000.service: Failed at step EXEC spawning /usr/lib/systemd-user-runtime-dir: Input/output error 발생 이유와 해결법 (0) | 2025.03.25 |
|---|---|
| Rocky Linux 기반 보안 로그 확인하는 방법 (0) | 2025.03.17 |
| 리눅스 무료 오픈소스 자산관리 솔루션 Snipe-IT 소개 및 설치 방법 (0) | 2024.12.18 |
| 리눅스 성능 관리 모니터링 명령어 기능, 옵션, 사용법 (0) | 2024.12.17 |
| Windows 11 숨겨진 설정을 간편하게 관리하는 도구 소개 - TweakNow WinSecret for Windows 11 (0) | 2024.11.20 |
댓글