| [ CnUnix ] in KIDS 글 쓴 이(By): chilly (김규동) 날 짜 (Date): 1996년05월14일(화) 19시16분46초 KDT 제 목(Title): 메아리: login한 사람 그런 것이 저장되는 파일은 utmp wtmp 두개의 파일입니다. (SunOS에서는) /etc/utmp 에는 현재 login되어있는 사람에 관한 정보가 있고, (또는 현재 window) 여기에 기록이 될 것인지 아닐지를 xterm을 띄울때는 선택을 할 수 있으므로, 어떤 사람이 login되어있는지는 알 수 있어도 몇개의 window를 갖고 있는지는 알 수 없습니다. 또 world-writable한 파일이므로, 언제라도 변조하면 자신의 족적을 감출 수 있습니다. 그럼에도 불구하고 이를 world writable하게 만든 것은 그러지 않을 경우, terminal이나 shell등이 모두 SUID somebody 이어야 하는데, 이쪽이 오히려 security 문제가 더 심각하기 때문입니다. wtmp는 /var/wtmp 인데, 이것은 아무나 쓸 수 없고, (아무나 읽을 수는 있습니다. last같은 명령에서) 기록도 비교적 확실히 남기때문에, 이를 이용해서 추적이 가능합니다. 또 시스템 시간을 바꾸거나 reboot하는 등도 모두 이 파일에 기록이 남게 됩니다. pcnfs등을 사용하면 login/logout정보가 확실하지 않게 되어 이 파일을 해석하는데 문제가 생길 수도 있지만, 그렇다고 해서 정보자체가 깨어진 것은 아닙니다. 그런데.. 왜 이런 것이 알고 싶으실까 ? 이 파일들의 format에 관심이 있으시면, man utmp하면 됩니다.. 재미있는 일이 있으면 같이 즐깁시다.. 참 그리고 man에도 나와있겠지만, format이 약간 이상해서 그냥 decoding하면 이상한 data를 얻게 됩니다. (ASCIIZ string이 아님) 들여다 보면 아시겠지만, 주소를 기록은 해 두는데, 주소가 너무 길면 그냥 잘리고(정해진 길이를 가진 field에 써넣거든요), 이런 경우에는 복구할 방법은 없습니다. 또 네트웍에서 주는 발신자의 주소는 system cracker의 경우는 보통 변조하고 들어오므로, 이를 추적하는 데는 적합한 방법이 아닙니다. 그래서 이런 범죄자들을 추적하는데, 이들이 사용하고 있을때만 가능하다고 하는 것입니다. 물론 초보자의 경우는 간단히 잡히지만. -- Gyudong Kim % Dept. of Electronics, Seoul Nat'l Univ., Seoul 151-742, Korea chilly % Phone +82 2 880 7280; Fax +82 2 885 6993; Pager +82 12 845 3420 Fabiano % http://www.iclab.snu.ac.kr/~chilly, chilly@iclab.snu.ac.kr |