Ako správca systému je dôležité pravidelne monitorovať prihlásenia používateľov v systéme Linux na podozrivé aktivity.

Či už ste správcom systému Linux so servermi a viacerými používateľmi pod dohľadom, alebo bežným používateľom systému Linux, vždy je dobré byť pri zabezpečovaní systému proaktívny.

Jedným zo spôsobov, ako môžete aktívne zabezpečiť svoj systém, je sledovanie prihlásení používateľov, najmä aktuálne prihlásených používateľov a neúspešných prihlásení alebo pokusov o prihlásenie.

Prečo sledovať prihlásenia v systéme Linux?

Monitorovanie prihlásení na vašom systéme Linux je dôležitou činnosťou z niekoľkých dôvodov:

  • Súlad: Väčšina bezpečnostných noriem IT, predpisov a vlád vyžaduje, aby ste monitorovali protokoly, aby boli v súlade s najlepšími odvetvovými postupmi.
  • Zabezpečenie: Monitorovanie protokolov vám pomôže zlepšiť bezpečnosť vo vašich systémoch, pretože máte prehľad o užívateľoch, ktorí pristupujú alebo sa pokúšajú o prístup k vášmu systému. To vám umožňuje prijať preventívne opatrenia, ak si všimnete nechcené prihlasovacie aktivity.
    • instagram viewer
  • Riešenie problémov: Zistite, prečo môže mať používateľ problémy s prihlásením do vášho systému.
  • Kontrolný záznam: Prihlasovacie denníky sú dobrým zdrojom informácií pre audity bezpečnosti IT a súvisiace činnosti.

Existujú štyri hlavné typy prihlásení, ktoré by ste mali vo svojom systéme monitorovať: úspešné prihlásenia, neúspešné prihlásenia, prihlásenie SSH a prihlásenie na FTP. Pozrime sa, ako môžete monitorovať každý z nich v systéme Linux.

1. Pomocou posledného príkazu

posledný je výkonný nástroj príkazového riadka na monitorovanie predchádzajúcich prihlásení do vášho systému, vrátane úspešných a neúspešných prihlásení. Okrem toho zobrazuje aj vypnutia systému, reštarty a odhlásenia.

Jednoducho otvorte svoj terminál a spustite nasledujúci príkaz na zobrazenie všetkých prihlasovacích údajov:

posledný

Pomocou grep môžete filtrovať konkrétne prihlásenia. Napríklad do zoznam aktuálne prihlásených používateľov, môžete spustiť príkaz:

posledný | grep "prihlásený"

Môžete tiež použiť w príkaz na zobrazenie prihlásených používateľov a toho, čo robia; ak to chcete urobiť, jednoducho zadajte w v termináli.

2. Pomocou príkazu lastlog

The lastlog pomôcka zobrazuje prihlasovacie údaje všetkých používateľov vrátane štandardných používateľov, používateľov systému a používateľov servisných účtov.

sudo lastlog

Výstup obsahuje všetkých používateľov zobrazených v úhľadnom formáte, ktorý zobrazuje ich používateľské meno, port, ktorý používajú, pôvodnú IP adresu a časovú pečiatku, na ktorú sa prihlásili.

Pozrite si manuálové stránky lastlog pomocou príkazu muž lastlog sa dozviete viac o jeho použití a možnostiach príkazov.

3. Monitorovanie prihlásení SSH v systéme Linux

Jedným z najbežnejších spôsobov, ako získať vzdialený prístup k serverom Linux, je cez SSH. Ak je váš počítač alebo server pripojený k internetu, musíte zabezpečte svoje pripojenia SSH (napríklad zakázaním prihlásenia SSH pomocou hesla).

Monitorovanie SSH prihlásení vám poskytne dobrý prehľad o tom, či sa niekto nepokúša hrubou silou do vášho systému.

V predvolenom nastavení je protokolovanie SSH na niektorých systémoch zakázané. Môžete to povoliť úpravou súboru /etc/ssh/sshd_config súbor. Použite ľubovoľný zo svojich obľúbených textových editorov a odkomentujte riadok LogLevel INFO a tiež ho upraviť na LogLevel VERBOSE. Po zmenách by to malo vyzerať podobne ako nasledujúce:

Po vykonaní tejto zmeny budete musieť reštartovať službu SSH:

sudo systemctl reštartujte ssh

Všetky SSH prihlásenia alebo aktivity budú teraz prihlásené do /var/log/auth.log súbor. Súbor obsahuje množstvo informácií na monitorovanie prihlásení a pokusov o prihlásenie vo vašom systéme Linux.

Môžete použiť kat príkaz alebo akýkoľvek iný výstupný nástroj na čítanie obsahu súboru auth.log súbor:

cat /var/log/auth.log

Použite grep na filtrovanie konkrétnych SSH prihlásení. Ak chcete napríklad zobraziť zoznam neúspešných pokusov o prihlásenie, môžete spustiť nasledujúci príkaz:

sudo grep "Zlyhalo" /var/log/auth.log

Okrem prezerania neúspešných pokusov o prihlásenie je tiež dobré pozrieť sa na prihlásených používateľov a zistiť, či nie sú nejakí podozriví; napríklad bývalých zamestnancov.

4. Monitorovanie prihlásení FTP v systéme Linux

FTP je široko používaný protokol na prenos súborov medzi klientom a serverom. Aby ste mohli prenášať súbory, musíte byť overení na serveri.

Keďže služba zahŕňa prenos súborov, akékoľvek narušenia bezpečnosti môžu mať vážne dôsledky na vaše súkromie. Našťastie môžete jednoducho sledovať prihlásenia na FTP a všetky ostatné súvisiace aktivity filtrovaním "FTP" v /var/log/syslog súbor pomocou nasledujúceho príkazu:

grep ftp /var/log/syslog

Monitorujte prihlásenia v systéme Linux pre lepšiu bezpečnosť

Každý správca systému by mal byť aktívny pri zabezpečovaní svojho systému. Sledovanie vašich prihlásení z času na čas je najlepší spôsob, ako odhaliť podozrivú aktivitu.

Môžete tiež využiť nástroje ako fail2ban na automatické vykonávanie preventívnych opatrení vo vašom mene.