본문 바로가기
LINUX

btmp, wtmp 란?

by Rainbound-IT 2024. 12. 5.
반응형

 

 

btmp와 wtmp 파일은 리눅스 및 유닉스 시스템에서 사용자 로그인과 관련된 중요한 정보를 기록하는 파일입니다. 이 파일들은 주로 시스템 보안, 사용자 인증 및 로그인 활동을 추적하는 데 사용됩니다. 각 파일의 사용 용도는 다음과 같습니다.

1. btmp (Bad Login Attempts)

  • 용도: btmp 파일은 잘못된 로그인 시도에 대한 정보를 기록하는 파일입니다. 이 파일은 사용자가 잘못된 암호를 입력하거나 권한이 없는 사용자로 로그인하려고 시도할 때 발생하는 로그인 실패 정보를 저장합니다.
  • 기록되는 정보:
    • 로그인 실패 시도 시, 사용자의 사용자명, IP 주소 또는 로그인 시도한 호스트, 날짜 및 시간 등이 기록됩니다.
    • 이 파일은 시스템 관리자가 불법 로그인 시도브루트포스 공격을 모니터링하는 데 유용합니다.
  • 파일의 위치: 일반적으로 /var/log/btmp에 위치합니다.
  • 확인 방법: btmp 파일의 내용을 확인하려면 lastb 명령어를 사용합니다. 예를 들어, lastb 명령어를 입력하면 최근의 잘못된 로그인 시도 기록을 볼 수 있습니다.이 명령어는 btmp 파일에서 잘못된 로그인 기록을 읽어와 출력합니다.
lastb

 

2. wtmp (Login/Logout Records)

  • 용도: wtmp 파일은 사용자의 로그인 및 로그아웃 활동에 대한 기록을 저장하는 파일입니다. 이 파일은 시스템에 로그인한 사용자, 로그인한 시간, 로그아웃한 시간, 그리고 시스템 재부팅 등의 정보를 기록합니다.
  • 기록되는 정보:
    • 사용자가 시스템에 로그인한 시간과 로그아웃한 시간
    • 시스템의 재부팅 및 종료 시점
    • 시스템에서 실행된 종료/종료 명령어(shutdown, reboot 등)에 대한 기록
    • 사용자가 사용한 TTY(터미널) 번호 및 원격 로그인에서의 IP 주소
  • 파일의 위치: 일반적으로 /var/log/wtmp에 위치합니다.
  • 확인 방법: wtmp 파일의 내용을 확인하려면 last 명령어를 사용합니다. 이 명령어는 사용자의 로그인 및 로그아웃 기록을 출력합니다.last 명령어는 wtmp 파일에서 사용자의 로그인, 로그아웃 기록과 시스템 재부팅 기록을 확인할 수 있습니다.

btmp와 wtmp의 차이점

항목 btmp wtmp
기록되는 이벤트 로그인 실패 시도(잘못된 로그인) 로그인, 로그아웃, 시스템 재부팅, 종료 기록
사용자 활동 로그인 실패 시도 로그인 및 로그아웃 활동
기록되는 정보 사용자명, 로그인 실패 시간, 호스트 정보 등 로그인/로그아웃 시간, TTY, IP 주소 등
확인 명령어 lastb last

중요성

  • 보안 감사 및 추적:
    • btmp 파일은 보안 모니터링에서 중요한 역할을 합니다. 로그인 실패 시도는 종종 시스템에 대한 무차별 대입 공격(브루트포스 공격)의 지표가 될 수 있습니다. btmp를 통해 잘못된 로그인 시도를 추적하고 공격의 징후를 발견할 수 있습니다.
  • 사용자 관리:
    • wtmp 파일은 시스템에서의 사용자 활동을 기록하므로, 시스템 관리자가 사용자가 로그인한 시점과 로그아웃한 시점을 추적하는 데 유용합니다. 예를 들어, 사용자가 언제 시스템에 로그인했는지, 얼마나 오래 사용했는지 등을 확인할 수 있습니다.

결론

  • btmp: 잘못된 로그인 시도를 기록하여 보안 감사 및 무단 접근 시도를 모니터링하는 데 유용합니다.
  • wtmp: 로그인, 로그아웃 및 시스템 상태 변경을 기록하여 시스템 관리자가 사용자의 활동을 추적하는 데 사용됩니다.

 

반응형

댓글