✔️ 1단계
| - 파일 복사를 통한 지정 경로로 백업 $ sudo cp /var/log/auth.log /lab/auth_backup.log - 파일의 기본 정보 $ wc -l ~/lab/auth_backup.log $ ls -l ~/lab/auth_backup.log |
• wc: 텍스트파일이나 표준 입력의 줄, 단어, 문자 및 바이트 수를 계산하는 명령어

✔️ 2단계
| - SSH 실패 로그인 조회 $ sudo grep "Failed password" auth_backup.log | head -20 |

✔️ 3단계
| - 실패 횟수 집계 $ sudo grep "Failed password" auth_backup.log | wc -l |

✔️ 4단계
| - 공격 IP 빈도분석(로그에서 실패한 로그인 기록을 찾아 IP 기준으로 많이 발생된 TOP 10으로 뽑는 명령어) $ sudo grep "Failed" auth_backup.log | awk '{print $11}' | sort | uniq -c | sort -rn | head -10 - 그러나 연습용 우분투 환경으로 ip 칼럼이 존재하지 않으며 결과 확인 시 해당 키워드들이 카운트된 것을 확인 |
• uniq: 연속적으로 중복되는 행을 하나로 압축하거나 제거하는 데 사용하는 명령어
• sort: 리눅스, 유닉스 환경에서 텍스트 파일이나 입력된 데이터의 내용을 줄 단위로 정렬하는 데 사용(-r 내림차순 -n 숫자기준)
• awk: 리눅스에서 텍스트 파일이나 파이프라인으로 들어오는 데이터를 패턴 매칭과 조건에 따라 추출, 가공하여 원하는 형태로 출력(print $11은 IP주소 칼럼)
• | : 동시 처리의 용도

✔️ 5단계
| - 보고서 파일 생성 $ sudo echo "-------------- 침입 시도 분석 -------------- " > report.txt $ sudo echo "분석 시간: $(date)" >> report.txt $ sudo grep "Failed" auth_backup.log | awk '{print $11}' | sort | uniq -c | sort -rn >> report.txt - 최종 보고서 확인 $ cat report.txt 또는 $ vi report.txt |
• 입력값을 입력하려 했으나 권한 부족으로 허가 거부
• umask를 제거한 755를 이용해 권한 부여했으나 마찬가지로 허가 거부하여 777을 이용해 권한 부여 시 되는 것을 확인 가능

• 이후 알맞게 데이터가 넘어간 것을 확인

'보안 관제' 카테고리의 다른 글
| 패킷 분석 도구 tcpdump, Wireshark, tshark (0) | 2026.06.23 |
|---|---|
| (👌→수정필)보안점검 통합 (0) | 2026.06.23 |
| 침해사고 대응 자동화 스크립트 (0) | 2026.06.22 |
| Lynis (0) | 2026.06.22 |