다중 사용자 시스템에서 「누가 sudo로 무엇을 했나」 추적은 보안의 기본.
리눅스는 풍부한 로그를 자동 기록합니다.
auth.log·secure.
Ubuntu/Debian의 sudo·SSH 로그는 /var/log/auth.log, RHEL/CentOS는 /var/log/secure.
tail -f /var/log/auth.log로 실시간 모니터링.
sudo 사용·로그인 시도·실패가 모두 여기.
journalctl.
systemd 시스템(모던 리눅스 거의 다)은 journalctl이 통합 로그.
journalctl -u sshd로 SSH 데몬 로그.
journalctl _COMM=sudo로 sudo 명령 로그.
시간 필터: --since "1 hour ago".
sudo 명령 자세히.
/var/log/sudo.log(있으면) 또는 syslog에 「user A : TTY=pts/0 ; PWD=/home/A ; USER=root ; COMMAND=/usr/bin/cmd args」 같이.
누가·언제·어디서·어떤 명령을 root로 실행했는지 모두.
auditd — 더 강력.
apt install auditd.
「특정 파일·시스템 호출 감사」를 정밀 로깅.
auditctl -w /etc/passwd -p wa -k passwd_changes — /etc/passwd 변경 시 감사 로그.
ausearch로 검색.
보안 강화 환경의 표준.
활용.
정기적인 점검 — 1주일마다 auth.log 검토.
「알 수 없는 IP에서 로그인 시도」, 「예상 안 한 sudo 명령」 같은 이상 신호.
fail2ban 같은 자동 차단 도구 결합으로 방어 강화.
한 줄 요약
sudo·SSH 로그는 /var/log/auth.log(Debian)·secure(RHEL).
journalctl로 통합 보기.
auditd로 더 정밀(파일·syscall 감사).
정기 점검 + fail2ban 자동 차단으로 방어.
더 알아볼 것
- fail2ban 설정
- auditd rules 패턴
- ELK·Grafana로 로그 분석
