/var/log/btmp

실습> /var/log/btmp

      user5 <----- ssh -b로 접속 실패
[Server1]------------[Server2]
192.168.101.254      192.168.101.101, 192.168.101.3 ~ 192.168.101.7

로그인에 실패한 로그가 저장된다.

# file /var/log/btmp 
/var/log/btmp: DBase 3 index file

# ssh -b 192.168.101.7 user5@192.168.101.254
user5@192.168.101.254's password: 
Permission denied, please try again.
user5@192.168.101.254's password: 
Permission denied, please try again.

# lastb
user5    ssh:notty    192.168.101.7    Fri Mar  4 18:12 - 18:12  (00:00)    
user5    ssh:notty    192.168.101.7    Fri Mar  4 18:11 - 18:11  (00:00)    

btmp begins Fri Mar  4 18:11:05 2022


실습> /var/log/secure 

SSH로 접속하면 /var/log/secure 에 저장된다.

1. 로그 모니터링
# tail -f /var/log/secure
  :
  :(생략)

2. 접속
다른 터미널에서 접속하고 비번을 잘못 입력한다.
# ssh 192.168.101.254
root@192.168.101.254's password: 
Permission denied, please try again.
root@192.168.101.254's password: 

3. 로그 확인
# tail -f /var/log/secure
  :
  :(생략)
Mar  4 18:17:54 firewall unix_chkpwd[1936]: password check failed for user (root)
Mar  4 18:17:54 firewall sshd[1934]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.101.101  user=root
Mar  4 18:17:54 firewall sshd[1934]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Mar  4 18:17:56 firewall sshd[1934]: Failed password for root from 192.168.101.101 port 60756 ssh2

4. 정상 로그인
# ssh 192.168.101.254
root@192.168.101.254's password: 
Last failed login: Fri Mar  4 18:18:23 KST 2022 from 192.168.101.101 on ssh:notty
There were 4 failed login attempts since the last successful login.
Last login: Fri Mar  4 17:45:29 2022
#

로그인이 성공되면 아래처럼 로그가 기록된다.
# tail -f /var/log/secure
  :
  :(생략)
Mar  4 18:18:35 firewall sshd[1938]: Accepted password for root from 192.168.101.101 port 60758 ssh2
Mar  4 18:18:35 firewall sshd[1938]: pam_unix(sshd:session): session opened for user root by (uid=0)