Kot sistemski skrbnik je pomembno, da redno spremljate prijave uporabnikov v sistem Linux za sumljive dejavnosti.

Ne glede na to, ali ste skrbnik Linuxa s strežniki in več uporabniki pod nadzorom ali običajen uporabnik Linuxa, je vedno dobro biti proaktiven pri varovanju svojega sistema.

Eden od načinov, kako lahko aktivno zaščitite svoj sistem, je spremljanje prijav uporabnikov, zlasti trenutno prijavljenih uporabnikov in neuspelih prijav ali poskusov prijave.

Zakaj spremljati prijave v sistemu Linux?

Spremljanje prijav v vašem sistemu Linux je pomembna dejavnost iz več razlogov:

  • Skladnost: Večina varnostnih standardov IT, predpisov in vlad zahteva, da spremljate dnevnike, da so skladni z najboljšimi industrijskimi praksami.
  • Varnost: Dnevniki spremljanja vam bodo pomagali izboljšati varnost vaših sistemov, saj imate vpogled v uporabnike, ki dostopajo ali poskušajo dostopati do vašega sistema. To vam omogoča, da sprejmete preventivne ukrepe, če opazite neželene dejavnosti prijave.
  • Odpravljanje težav: Ugotovite, zakaj ima uporabnik morda težave pri prijavi v vaš sistem.
    • instagram viewer
  • Nadzorna sled: Dnevniki prijave so dober vir informacij za revizije varnosti IT in s tem povezane dejavnosti.

Obstajajo štiri glavne vrste prijav, ki jih morate spremljati v sistemu: uspešne prijave, neuspešne prijave, prijave SSH in prijave FTP. Poglejmo, kako lahko spremljate vsako od teh v Linuxu.

1. Uporaba zadnjega ukaza

zadnji je zmogljiv pripomoček ukazne vrstice za spremljanje prejšnjih prijav v vaš sistem, vključno z uspešnimi in neuspešnimi prijavami. Poleg tega prikazuje tudi zaustavitve sistema, vnovične zagone in odjave.

Preprosto odprite svoj terminal in zaženite naslednji ukaz za prikaz vseh podatkov za prijavo:

zadnji

Za filtriranje določenih prijav lahko uporabite grep. Na primer za seznam trenutno prijavljenih uporabnikov, lahko zaženete ukaz:

zadnji | grep "prijavljen"

Uporabite lahko tudi w ukaz za prikaz prijavljenih uporabnikov in kaj počnejo; če želite to narediti, preprosto vnesite w v terminalu.

2. Uporaba ukaza lastlog

The lastlog pripomoček prikaže podatke za prijavo vseh uporabnikov, vključno s standardnimi uporabniki, uporabniki sistema in uporabniki računov storitev.

sudo lastlog

Izhod vsebuje vse uporabnike, prikazane v lični obliki, ki prikazuje njihovo uporabniško ime, vrata, ki jih uporabljajo, izvorni naslov IP in časovni žig, na katerega so se prijavili.

Z ukazom si oglejte man strani lastlog človek lastlog če želite izvedeti več o njegovi uporabi in ukaznih možnostih.

3. Spremljanje prijav SSH v sistemu Linux

Eden najpogostejših načinov za pridobitev oddaljenega dostopa do strežnikov Linux je prek SSH. Če je vaš računalnik ali strežnik povezan z internetom, morate zaščitite svoje povezave SSH (na primer z onemogočanjem prijav SSH na podlagi gesla).

Spremljanje prijav SSH vam bo dalo dober pregled nad tem, ali kdo poskuša na silo vdreti v vaš sistem.

Beleženje SSH je v nekaterih sistemih privzeto onemogočeno. Omogočite ga lahko tako, da uredite /etc/ssh/sshd_config mapa. Uporabite katerega koli od svojih najljubših urejevalnikov besedila in odkomentirajte vrstico LogLevel INFO in ga tudi uredite v LogLevel VERBOSE. Po spremembah bi moralo izgledati podobno:

Po tej spremembi boste morali znova zagnati storitev SSH:

sudo systemctl znova zaženite ssh

Vse prijave ali dejavnosti SSH bodo zdaj zabeležene v /var/log/auth.log mapa. Datoteka vsebuje ogromno informacij za spremljanje prijav in poskusov prijave v vašem sistemu Linux.

Lahko uporabite mačka ali katero koli drugo izhodno orodje za branje vsebine auth.log mapa:

mačka /var/log/auth.log

Uporabite grep za filtriranje določenih prijav SSH. Na primer, za seznam neuspelih poskusov prijave lahko zaženete naslednji ukaz:

sudo grep "Neuspešno" /var/log/auth.log

Poleg ogleda neuspešnih poskusov prijave je dobro pogledati tudi prijavljene uporabnike in odkriti, ali obstajajo sumljivi; na primer nekdanji zaposleni.

4. Spremljanje prijav FTP v sistemu Linux

FTP je široko uporabljen protokol za prenos datotek med odjemalcem in strežnikom. Za prenos datotek morate biti overjeni na strežniku.

Ker storitev vključuje prenos datotek, lahko morebitne kršitve varnosti resno vplivajo na vašo zasebnost. Na srečo lahko preprosto spremljate prijave FTP in vse druge povezane dejavnosti s filtriranjem za "FTP" v /var/log/syslog datoteko z naslednjim ukazom:

grep ftp /var/log/syslog

Spremljajte prijave v sistemu Linux za boljšo varnost

Vsak sistemski skrbnik bi moral biti proaktiven pri varovanju svojega sistema. Občasno spremljanje vaših prijav je najboljši način za odkrivanje sumljive dejavnosti.

Za samodejno izvajanje preventivnih ukrepov v vašem imenu lahko uporabite tudi orodja, kot je fail2ban.