/var/log/wtmp 로그 파일과 관련된 비정상적인 동작에 대해 질문이 있습니다.
Ubuntu 14.04.5 LTS Minimal Server가 설치되어 잠시 실행되는 서버가 있습니다. 어느 시점에서 기본 운영 체제를 다시 설치하고 CentOS Linux 버전 7.8.2003 최소 서버 설치로 변경하기로 결정되었습니다. 설치가 완료되고 확인되었습니다. 모든 것이 잘 작동합니다. 그러나 명령을 내릴 때 매우 이상한 점을 발견했습니다.
last
박스 검증이 성공한 것으로 확인됩니다CentOS를 사용하여 서버를 다시 설치하기 전에! 이것이 어떻게 가능한지? 인증에 사용된 IP가 유효하고 예상됩니다! 그런데 /var/log/wtmpCentOS를 설치한 후 이 정보가 IP에 어떻게 추가되는지 가 궁금합니다 .
그래서 나는 utmpdump를 사용하여 로그를 자세히 연구하기 시작했습니다.
utmpdump < /var/log/wtmp
일부 유효한 로그에는 다음과 같은 내용이 표시됩니다.
[7] [123933] [ts/6] [user1 ] [pts/6 ] [ ] [192.168.74.2 ] [Wed Oct 07 00:34:20 2020 ]
[8] [123933] [ ] [ ] [pts/6 ] [ ] [0.0.0.0 ] [Wed Oct 07 02:45:41 2020 ]
[8] [120363] [ ] [ ] [pts/5 ] [ ] [0.0.0.0 ] [Wed Oct 07 03:30:31 2020 ]
처음에는 고급 프로세스 123933 및 120363을 발견하고 즉시 /proc/ 및 "ps auxwf"를 찾기 시작했습니다.
최종 명령 출력에는 마지막 두 항목이 표시되지 않습니다.. 게다가 proc에서 삭제된 파일을 가리키는 프로세스를 찾을 수 없었습니다!
두 번째와 세 번째 줄은 첫 번째 줄과 동일한 프로세스 ID(123933)를 공유하기 때문에 ssh 세션 시간 초과를 의미한다고 생각하지만 확실하지는 않습니다. utmp 매뉴얼 페이지에 따르면
유형 8은 "죽은 프로세스"
서버에는 비표준 포트의 ssh라는 하나의 서비스만 사용할 수 있습니다. 인증서를 이용한 인증만 허용하며, 기본적으로 표준 SSH 강화 지침을 따라 Fail2ban을 구성합니다. 예를 들어 AllowUsers, ClientAliveInterval, 프로토콜 2, 루트 로그인 없음, 비밀번호 인증 없음 등은 3.10.0-1127.el7.x86_64 커널을 실행합니다. SeLinux는 항상 활성화되어 있습니다.
수신 대기 중인 원시 소켓이 표시되지 않습니다. 즉 ss -w -a , 비어 있고 방화벽에는 SSH용 열린 TCP 포트가 하나만 있고 다른 포트는 없습니다. "..." 디렉토리에는 흥미로운 점이 없습니다. 나머지 로그는 손상되지 않은 것으로 보입니다.
지금까지 설명할 수 없는 한 가지는 wtmp 로그 파일입니다. 현재 CentOS에 wtmp 로그가 있는 것처럼 Centos 설치가 일부 비휘발성 메모리에 저장될 수 있는 이전 서버의 wtmp 로그를 읽고 이를 새 설치로 가져올 수 있는 집합체가 있습니까?CentOS 설치 전에 실제로 발생하는 유효한 인증, 즉 서버가 CentOS 대신 Ubuntu를 운영 체제로 사용할 때!
설치 중에 이 정보가 CentOS로 전송되는 이유는 무엇입니까?
내가 생각할 수 있는 또 다른 이유는 시스템이 손상되었고 누군가가 wtmp 로그 파일을 복사/편집했는데, 이 경우 서버가 손상되었다는 것입니다.
wtmp가 현재 하드 드라이브가 아닌 다른 곳에 저장될 수도 있습니까? 즉, 일부 비휘발성 메모리 또는 기본 CentOS 구성인 이와 유사한 것입니다. wtmp에 표시된 서버의 유효한 로그인(설치 날짜 이전의 타임스탬프 포함)을 해석하는 방법은 무엇입니까?