리눅스 서버를 사용하는 중 서버가 다운되는 현상
첫 번째로는 서버 사양이 낮은 경우 과부하가 걸리면 먹통이 잘 된다.
두 번째는 아무래도 웹서비스를 만들고 사이트가 노출이 되는 사이트면 수많은 공격이 들어온다.
서버 사양이 낮은데 공격자의 트래픽이 몰리다 보면 디도스처럼 서버가 다운되는 현상이 있다.
확인 방법은 로그를 조회해 본다 기본적으로 로그파일들 위치는 /var/log에 저장되어 있다
사용자 ssh 접속기록 날짜 아이피 등등 기록되어 있다.
리눅스에서 로그 조회하는 방법
전체로 보고 싶다면 cat 명령어 사용
sudo cat /var/log/messages
특정 날짜 조회 방법
sudo grep "특정 문자열" /var/log/messages특정 문자열에는 찾고 싶은 특정 날짜나 특정 이벤트에 관한 내용을 넣어주면 된다.
그럼 이런 형식으로 나온다.
Apr 29 15:41:16 ip-XXX-XX-X-XXX audit[XXXX]: CRYPTO_SESSION pid=XXXX uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=start direction=from-server cipher=aes128-ctr ksize=128 mac=hmac-sha2-256 pfs=curve25519-sha256@libssh.org spid=XXXX suid=74 rport=54346 laddr=XXX.XX.X.XXX lport=22 exe="/usr/sbin/sshd" hostname=? addr=XXX.XXX.XXX.XX terminal=? res=success'내 아이피로 접속하지 않았는데 success 로 나온다.
이중으로 확인해본다.
이건 전체 로그 조회
sudo cat /var/log/secure
특정 아이피 조회
sudo cat /var/log/secure | grep "sshd" | grep "XXX.XXX.XXX.XX"
결과 연결이 닫혔다고 나온다.
Apr 29 15:41:30 ip-XXX-XX-X-XXX sshd[XXXX]: Connection closed by XXX.XXX.XXX.XX port 54346 [preauth]다행이다 보안을 철저히 해야겠다.
로그인 성공한 항목만 모아보기
sudo grep 'Accepted' /var/log/secure
사이트 먹통이 됐다면 빠르게 확인 해야겠다.
리눅스에서는 로그파일이 로테이션되기 때문에 못 볼 수도 있기 때문이다.
