Jako administrator systemu ważne jest regularne monitorowanie logowania użytkowników w systemie Linux pod kątem podejrzanych działań.
Niezależnie od tego, czy jesteś administratorem Linuksa z serwerami i wieloma użytkownikami pod nadzorem, czy zwykłym użytkownikiem Linuksa, zawsze dobrze jest być proaktywnym w zabezpieczaniu swojego systemu.
Jednym ze sposobów aktywnego zabezpieczenia systemu jest monitorowanie logowań użytkowników, w szczególności użytkowników aktualnie zalogowanych oraz nieudanych logowań lub prób logowania.
Dlaczego warto monitorować logowanie w systemie Linux?
Monitorowanie logowania w systemie Linux jest ważną czynnością z kilku powodów:
- Zgodność: Większość standardów bezpieczeństwa IT, przepisów i rządów wymaga monitorowania dzienników w celu zachowania zgodności z najlepszymi praktykami branżowymi.
- Bezpieczeństwo: Dzienniki monitorowania pomogą Ci poprawić bezpieczeństwo Twoich systemów, ponieważ masz wgląd w użytkowników, którzy uzyskują dostęp do Twojego systemu lub próbują uzyskać do niego dostęp. Pozwala to na podjęcie środków zapobiegawczych w przypadku zauważenia niepożądanych działań związanych z logowaniem.
- Rozwiązywanie problemów: Dowiedz się, dlaczego użytkownik może mieć problem z zalogowaniem się do Twojego systemu.
- Ścieżka audytu: Dzienniki logowania są dobrym źródłem informacji dla audytów bezpieczeństwa IT i powiązanych działań.
Istnieją cztery główne typy logowania, które należy monitorować w systemie: udane logowanie, nieudane logowanie, logowanie SSH i logowanie FTP. Przyjrzyjmy się, jak możesz monitorować każdy z nich w systemie Linux.
1. Używając ostatniego polecenia
ostatni to potężne narzędzie wiersza poleceń do monitorowania poprzednich logowań w systemie, w tym udanych i nieudanych logowań. Ponadto wyświetla również zamknięcia systemu, ponowne uruchomienia i wylogowania.
Po prostu otwórz terminal i uruchom następujące polecenie, aby wyświetlić wszystkie dane logowania:
ostatniMożesz użyć grep do filtrowania określonych loginów. Na przykład do lista aktualnie zalogowanych użytkowników, możesz uruchomić polecenie:
ostatni | grep „zalogowany”Możesz także skorzystać z tzw w polecenie, aby pokazać zalogowanych użytkowników i to, co robią; aby to zrobić, po prostu wejdź w w terminalu.
2. Korzystanie z polecenia lastlog
The ostatni dziennik narzędzie wyświetla dane logowania wszystkich użytkowników, w tym użytkowników standardowych, użytkowników systemu i użytkowników konta usługi.
sudo lastlogDane wyjściowe zawierają wszystkich użytkowników, wyświetlanych w schludnym formacie, który pokazuje ich nazwę użytkownika, port, z którego korzystają, źródłowy adres IP i znacznik czasu, w którym się zalogowali.
Sprawdź strony podręcznika lastlog za pomocą polecenia mężczyzna ostatni dziennik aby dowiedzieć się więcej o jego użyciu i opcjach poleceń.
3. Monitorowanie logowania SSH w systemie Linux
Jednym z najczęstszych sposobów uzyskania zdalnego dostępu do serwerów Linux jest połączenie SSH. Jeśli Twój komputer lub serwer jest podłączony do Internetu, musisz zabezpieczyć swoje połączenia SSH (na przykład poprzez wyłączenie logowania SSH opartego na haśle).
Monitorowanie logowań SSH da ci dobry przegląd tego, czy ktoś próbuje włamać się do twojego systemu.
Domyślnie rejestrowanie SSH jest wyłączone w niektórych systemach. Możesz go włączyć, edytując plik /etc/ssh/sshd_config plik. Użyj dowolnego ze swoich ulubionych edytorów tekstu i odkomentuj linię INFORMACJE o poziomie dziennika a także edytuj go do LogLevel PEŁNY. Po zmianach powinien wyglądać podobnie do poniższego:
Po wprowadzeniu tej zmiany konieczne będzie ponowne uruchomienie usługi SSH:
sudo systemctl zrestartuj sshWszystkie logowania lub działania SSH będą teraz rejestrowane w /var/log/auth.log plik. Plik zawiera mnóstwo informacji do monitorowania logowania i prób logowania w systemie Linux.
Możesz użyć kot polecenia lub innego narzędzia wyjściowego, aby odczytać zawartość pliku dziennik autoryzacji plik:
cat /var/log/auth.logUżyj grep do filtrowania określonych loginów SSH. Na przykład, aby wyświetlić listę nieudanych prób logowania, możesz uruchomić następujące polecenie:
sudo grep „Niepowodzenie” /var/log/auth.logOprócz przeglądania nieudanych prób logowania, warto również przyjrzeć się zalogowanym użytkownikom i wykryć, czy nie ma wśród nich podejrzanych; na przykład byłych pracowników.
4. Monitorowanie logowania FTP w systemie Linux
FTP jest szeroko stosowanym protokołem do przesyłania plików między klientem a serwerem. Aby móc przesyłać pliki, musisz być uwierzytelniony na serwerze.
Ponieważ usługa obejmuje przesyłanie plików, wszelkie naruszenia bezpieczeństwa mogą mieć poważne konsekwencje dla Twojej prywatności. Na szczęście możesz łatwo monitorować logowanie do FTP i wszystkie inne powiązane działania, filtrując „FTP” w /var/log/syslog plik za pomocą następującego polecenia:
grep ftp /var/log/syslogMonitoruj logowanie w systemie Linux dla lepszego bezpieczeństwa
Każdy administrator systemu powinien aktywnie zabezpieczać swój system. Okresowe monitorowanie loginów to najlepszy sposób na wykrycie podejrzanej aktywności.
Możesz także skorzystać z narzędzi, takich jak fail2ban, aby automatycznie przeprowadzić działania zapobiegawcze w Twoim imieniu.
