이전 글에서 su, su -, sudo의 차이점을 정리했는데요.
이번에는 운영 서버에서 권한 상승 관련 로그를 어떻게 확인할지 알아보겠습니다.
로그는 누가 어떤 권한 상승을 했는지를 추적하는 데 필수적입니다.
1. 인증/보안 로그 파일 위치
리눅스는 인증 및 권한 상승 관련 이벤트 로그를 /var/log 아래 특정 파일에 저장합니다.
| 배포판 계열인증 | 권한 상승 로그 |
| Ubuntu / Debian | /var/log/auth.log |
| RHEL / CentOS / Rocky / Alma | /var/log/secure |
이 위치는 시스템 로그인/SSH/권한 상승 관련 로그를 포함합니다.
2. su / su - 로그 확인
su와 su -는 사용자 전환 세션 이벤트로 인증 로그에 기록됩니다.
이는 권한 상승(예: 일반 사용자 → root) 시도와 성공/실패 모두에 해당합니다.
su/su - 로그 검색
Ubuntu/Debian:
sudo grep "su" /var/log/auth.log
CentOS/RHEL:
sudo grep "su" /var/log/secure
이렇게 하면 누가 어떤 계정으로 전환했는지 확인할 수 있습니다.
3. sudo 로그 확인
1) 기본 sudo 이벤트 검색
Ubuntu/Debian:
sudo grep "sudo" /var/log/auth.log
CentOS/RHEL:
sudo grep "sudo" /var/log/secure
이렇게 하면 누가 sudo 명령을 실행했는지 로그를 확인할 수 있습니다.
2) 실시간 sudo 로그 보기
로그를 실시간으로 모니터링하면 사용자 행동을 즉시 파악할 수 있습니다.
Ubuntu/Debian:
sudo tail -f /var/log/auth.log | grep sudo
CentOS/RHEL:
sudo tail -f /var/log/secure | grep sudo
이 명령은 새로운 sudo 이벤트가 발생할 때마다 화면에 표시합니다.
4. SSH 인증 및 세션 로그
sudo나 su 로그는 SSH 로그인/로그아웃 기록과 함께 보면 더 많은 맥락을 알 수 있습니다.
# SSH 로그인 성공
sudo grep "Accepted" /var/log/auth.log
# SSH 로그인 실패
sudo grep "Failed" /var/log/auth.log
이 명령은 인증 성공/실패와 관련된 로그를 보여줍니다.
5. 로그 분석/필터링 팁
실무에서는 단순히 로그 전체를 보는 것보다 필요한 이벤트만 빠르게 추출하는 것이 중요합니다.
특정 사용자 sudo 로그
sudo grep "sudo.*username" /var/log/auth.log
실패한 su 시도
sudo grep "su.*authentication failure" /var/log/auth.log
일정 시간대 이벤트
sudo grep "Jan 28" /var/log/auth.log | grep sudo
로그 파일은 시간이 지나면 용량이 커지고 이름이 바뀌기 때문에 압축된 로그(auth.log.*, secure.*)까지 살펴야 하는 경우가 많습니다.
| 목적 | 확인 방법 |
| SSH 인증 성공/실패 | grep "Accepted" / grep "Failed" |
| sudo 사용 내역 | grep "sudo" |
| su / su - 세션 전환 | grep "su" |
| 실시간 감시 | `tail -f … |
| 특정 사용자 필터 | grep "sudo.*username" |
6. 왜 로그 확인이 중요할까?
- 보안 점검/감사: 누가 언제 어떤 권한 상승을 시도했는지 기록으로 남습니다.
- 운영 장애 원인 분석: 특정 명령을 실행한 사용자를 빠르게 찾을 수 있습니다.
- 침입 탐지: 비정상적인 sudo/su 시도가 있는지 감시합니다.
마무리
- 인증/권한 상승 로그는 /var/log/auth.log 또는 /var/log/secure에 저장됩니다.
- sudo 로그는 명령 실행 정보까지 로그로 남습니다.
- su/su -는 세션 전환 이벤트로 인증 로그에 기록됩니다.
- 실시간 모니터링과 필터링으로 이상 징후를 빠르게 포착할 수 있습니다.
'Linux' 카테고리의 다른 글
| [ Linux ] 운영 서버 로그 기반 의심 징후 탐지 체크리스트 (0) | 2026.01.28 |
|---|---|
| [ Linux ] su, su -, sudo 차이점 정리 (운영 서버 기준) (0) | 2026.01.28 |
| [ Linux ] curl GET 요청 시 URL 인코딩이 꼭 필요한 이유와 처리 방법 (0) | 2025.06.13 |
| [ Linux ] 사용자 입력 값을 RFC 2822 형식으로 변환하는 방법 - Shell script (0) | 2025.06.13 |
| [ Linux ] curl로 REST API 호출하는 방법 (0) | 2025.06.13 |