시스템관리자의 쉼터 커피닉스 커피향이 나는 *NIX
커피닉스
시스템/네트웍/보안을 다루는 곳
 FAQFAQ   검색검색   멤버리스트멤버리스트   사용자 그룹사용자 그룹   사용자 등록하기사용자 등록하기 
 개인 정보개인 정보   비공개 메시지를 확인하려면 로그인하십시오비공개 메시지를 확인하려면 로그인하십시오   로그인로그인 

가입없이 누구나 글을 쓸 수 있습니다. 공지사항에 대한 댓글까지도..




BBS >> 설치, 운영 Q&A | 네트웍, 보안 Q&A | 일반 Q&A || 정보마당 | AWS || 자유게시판 | 구인구직 || 공지사항 | 의견제시
로그 파일 분석 부탁드립니다.

 
글 쓰기   답변 달기    커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> 시스템 설치 및 운영
이전 주제 보기 :: 다음 주제 보기  
글쓴이 메시지
초보자
손님





올리기올려짐: 2015.4.30 목, 4:10 pm    주제: 로그 파일 분석 부탁드립니다. 인용과 함께 답변 글 편집/삭제

Feb 17 00:06:52 localhost sshd[1666]: Server listening on 0.0.0.0 port 22.
Feb 17 00:06:52 localhost sshd[1666]: Server listening on :: port 22.
Feb 16 03:09:27 localhost polkitd(authority=local): Registered Authentication Agent for session /org/freedesktop/ConsoleKit/Session1 (system bus name :1.26 [/usr/libexec/polkit-gnome-authentication-agent-1], object path /org/gnome/PolicyKit1/AuthenticationAgent, locale ko_KR.UTF-Cool
Feb 16 03:10:02 localhost unix_chkpwd[2131]: account root has password changed in future
Feb 16 03:11:03 localhost unix_chkpwd[2138]: password check failed for user (root)
Feb 16 03:11:03 localhost login: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=tty2 ruser= rhost= user=root
Feb 16 03:11:05 localhost login: FAILED LOGIN 1 FROM (null) FOR root, Authentication failure
Feb 16 03:11:10 localhost unix_chkpwd[2141]: account root has password changed in future
Feb 16 03:11:11 localhost login: pam_unix(login:session): session opened for user root by LOGIN(uid=0)
Feb 16 03:11:11 localhost login: ROOT LOGIN ON tty2
Feb 16 03:11:16 localhost unix_chkpwd[2165]: account root has password changed in future
Feb 16 03:11:19 localhost unix_chkpwd[2166]: account root has password changed in future
Feb 16 03:11:19 localhost passwd: pam_unix(passwd:chauthtok): password changed for root
Feb 16 03:11:19 localhost passwd: gkr-pam: couldn't update the 'login' keyring password: no old password was entered
Apr 21 08:04:13 localhost sshd[1699]: Server listening on 0.0.0.0 port 22.
Apr 21 08:04:13 localhost sshd[1699]: Server listening on :: port 22.
Apr 21 08:04:51 localhost polkitd(authority=local): Registered Authentication Agent for Oct 19 19:29:35 localhost sshd[777]: Received signal 15; terminating.
Oct 19 19:31:03 localhost sshd[786]: Server listening on 0.0.0.0 port 22.
Oct 19 19:31:51 localhost xinetd[800]: START: sgi_fam pid=1440 from=
Oct 19 19:33:37 localhost xinetd[800]: START: sgi_fam pid=1638 from=
Oct 19 23:22:33 localhost sshd[786]: Received signal 15; terminating.
Oct 19 23:24:00 localhost sshd[786]: Server listening on 0.0.0.0 port 22.
Oct 19 23:24:45 localhost xinetd[800]: START: sgi_fam pid=1454 from=
Oct 20 02:15:47 localhost sshd[3028]: Did not receive identification string from 218.20.56.40
Oct 20 02:27:51 localhost sshd[786]: Received signal 15; terminating.
Oct 20 02:29:18 localhost sshd[786]: Server listening on 0.0.0.0 port 22.
Oct 20 02:29:59 localhost xinetd[800]: START: sgi_fam pid=1454 from=


초보자 가 2015.5.04 월, 5:02 pm에 수정함, 총 2 번 수정됨
위로
초보자
손님





올리기올려짐: 2015.5.01 금, 6:39 am    주제: Re: 로그 파일 분석 부탁드립니다. 인용과 함께 답변 글 편집/삭제

초보자 씀:
아래 로그파일인데 분석 부탁드립니다.
Feb 17 00:06:52 localhost sshd[1666]: Server listening on 0.0.0.0 port 22.
Feb 17 00:06:52 localhost sshd[1666]: Server listening on :: port 22.

ssh가 기본 포트인 22번 포트로 열려서, 정상적으로 접속이 가능하다는 말입니다.

초보자 씀:

Feb 16 03:09:27 localhost polkitd(authority=local): Registered Authentication Agent for session /org/freedesktop/ConsoleKit/Session1 (system bus name :1.26 [/usr/libexec/polkit-gnome-authentication-agent-1], object path /org/gnome/PolicyKit1/AuthenticationAgent, locale ko_KR.UTF-Cool

polkit라는 인증데몬 관련 메시지입니다.

초보자 씀:

Feb 16 03:10:02 localhost unix_chkpwd[2131]: account root has password changed in future


root 비밀번호 변경한 시간이 서버 시간보다 미래의 시간이라는 겁니다.
예를 들어 비밀번호를 서버시간 5월 1일 06:00분에 변경했다면, 시간이 흐른 후 서버시간이 5월 1일 06시보다 과거일 수 없어야 하잖아요.
그런데 그렇지 않을 때 나오는 메시지입니다.

로그들은 저장된 로그를 순서대로 첨부하신거죠?
그렇다면 서버시간이 한번 변경된 것 같아요. 위에 sshd[1666]: 로그에는 2.17 00:06:52분이고, 그 다음 로그는 16일 03시입니다.
서버 시간이 앞당겨진거죠. 시간이 앞당겨지니 root 비밀번호가 서버시간보다 나중에 변경한 것으로 되버리니 메시지가 나온겁니다.

서버 시간을 변경한 적이 없다면, 서버 시간을 체크해볼 필요가 있을 것 같습니다.

초보자 씀:

Feb 16 03:11:03 localhost unix_chkpwd[2138]: password check failed for user (root)
Feb 16 03:11:03 localhost login: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=tty2 ruser= rhost= user=root
Feb 16 03:11:05 localhost login: FAILED LOGIN 1 FROM (null) FOR root, Authentication failure

root로 로긴 실패 메시지입니다.

초보자 씀:

Feb 16 03:11:10 localhost unix_chkpwd[2141]: account root has password changed in future
Feb 16 03:11:11 localhost login: pam_unix(login:session): session opened for user root by LOGIN(uid=0)
Feb 16 03:11:11 localhost login: ROOT LOGIN ON tty2

root로 로긴 성공 메시지입니다.

초보자 씀:

Feb 16 03:11:19 localhost unix_chkpwd[2166]: account root has password changed in future
Feb 16 03:11:19 localhost passwd: pam_unix(passwd:chauthtok): password changed for root
Feb 16 03:11:19 localhost passwd: gkr-pam: couldn't update the 'login' keyring password: no old password was entered

2번째줄은 비밀번호를 변경했다는 것이고,
3번째줄은 비밀번호 변경시 gnome-keyring PAM에서 메시지가 나온 건데, couldn't update the 'login' keyring password: no old password was entered 메시지를 본적이 없어서 답을 드리기 어렵네요.
https://www.linux.com/community/forums/linux-security/unable-to-successfully-change-root-password 에 pwconv 실행으로 해결했다는 글이 있네요./
위로
이전 글 표시:   
글 쓰기   답변 달기    커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> 시스템 설치 및 운영 시간대: GMT + 9 시간(한국)
페이지 11

 
건너뛰기:  
새로운 주제를 올릴 수 있습니다
답글을 올릴 수 있습니다
주제를 수정할 수 있습니다
올린 글을 삭제할 수 없습니다
투표를 할 수 없습니다


Powered by phpBB © 2001, 2005 phpBB Group