「지금 누가 시스템에 들어와 있나」, 「최근에 누가 접속했나」 — 보안·운영 점검의 기본.
who.
현재 로그인된 사용자.
who 출력: 사용자명·터미널·접속 시각·접속 출처.
단순한 정보.
w.
who보다 풍부 — 「무엇을 하고 있나」도.
사용자명·터미널·출처·로그인 시각·idle 시간·CPU 사용·현재 명령.
시스템 부하·각 사용자 활동 한눈에.
last.
「과거 로그인 기록」(/var/log/wtmp).
last 명령 — 최근부터 오래된 순.
last -n 10으로 10개.
누가 언제 어디서 접속·종료했는지 — 보안 감사에 자주.
lastb.
「실패한 로그인」(/var/log/btmp).
비밀번호 틀렸거나 차단된 시도.
무차별 대입 공격(brute force) 탐지에 유용.
비정상적으로 많으면 fail2ban 같은 도구 도입 고려.
한 줄 요약
who(누가 접속), w(누가 + 무엇을), last(과거 로그인), lastb(실패한 시도).
보안 감사·운영 점검에 자주.
lastb로 무차별 대입 탐지, fail2ban 도구 검토.
더 알아볼 것
- fail2ban — IP 차단 자동화
- auditd — 더 자세한 감사
- journalctl로 systemd 로그
