Kaip sistemos administratoriui svarbu reguliariai stebėti vartotojų prisijungimus prie Linux sistemos, ar nėra įtartinos veiklos.

Nesvarbu, ar esate „Linux“ administratorius, stebintis serverius ir kelis naudotojus, ar eilinis „Linux“ vartotojas, visada naudinga imtis iniciatyvos apsaugoti savo sistemą.

Vienas iš būdų, kaip galite aktyviai apsaugoti savo sistemą, yra stebėti vartotojų prisijungimus, ypač šiuo metu prisijungusius vartotojus ir nesėkmingus prisijungimus ar bandymus prisijungti.

Kodėl reikia stebėti prisijungimus sistemoje „Linux“?

Prisijungimų prie „Linux“ sistemos stebėjimas yra svarbi veikla dėl kelių priežasčių:

  • Laikymasis: Dauguma IT saugos standartų, taisyklių ir vyriausybių reikalauja, kad žurnalai atitiktų geriausią pramonės praktiką.
  • Saugumas: Žurnalų stebėjimas padės pagerinti jūsų sistemų saugumą, nes matote vartotojus, kurie pasiekia arba bando pasiekti jūsų sistemą. Tai leidžia imtis prevencinių priemonių pastebėjus nepageidaujamą prisijungimo veiklą.
  • Problemų sprendimas: Sužinokite, kodėl vartotojui gali kilti problemų prisijungiant prie jūsų sistemos.
    • instagram viewer
  • Audito seka: Prisijungimo žurnalai yra geras informacijos šaltinis atliekant IT saugumo auditus ir susijusią veiklą.

Yra keturi pagrindiniai prisijungimų tipai, kuriuos turėtumėte stebėti savo sistemoje: sėkmingi prisijungimai, nesėkmingi prisijungimai, SSH prisijungimai ir FTP prisijungimai. Pažiūrėkime, kaip galite stebėti kiekvieną iš jų „Linux“.

1. Naudojant paskutinę komandą

paskutinis yra galinga komandų eilutės programa, skirta stebėti ankstesnius prisijungimus sistemoje, įskaitant sėkmingus ir nesėkmingus prisijungimus. Be to, jis taip pat rodo sistemos išjungimus, perkrovimus ir atsijungimus.

Tiesiog atidarykite savo terminalą ir paleiskite šią komandą, kad būtų rodoma visa prisijungimo informacija:

paskutinis

Norėdami filtruoti konkrečius prisijungimus, galite naudoti grep. Pavyzdžiui, į išvardyti dabartinius prisijungusius vartotojus, galite paleisti komandą:

paskutinis | grep "prisijungęs"

Taip pat galite naudoti w komanda, rodanti prisijungusius vartotojus ir ką jie daro; Norėdami tai padaryti, tiesiog įveskite w terminale.

2. Naudojant komandą lastlog

The paskutinis žurnalas įrankis rodo visų vartotojų prisijungimo duomenis, įskaitant standartinius vartotojus, sistemos vartotojus ir paslaugų abonementų vartotojus.

sudo lastlog

Išvestyje yra visi vartotojai, rodomi tvarkingu formatu, kuriame rodomas jų vartotojo vardas, naudojamas prievadas, kilmės IP adresas ir laiko žyma, kuria jie prisijungė.

Patikrinkite lastlog vadovo puslapius naudodami komandą vyras lastlog Norėdami sužinoti daugiau apie jo naudojimą ir komandų parinktis.

3. SSH prisijungimų stebėjimas sistemoje „Linux“.

Vienas iš labiausiai paplitusių būdų gauti nuotolinę prieigą prie Linux serverių yra per SSH. Jei jūsų kompiuteris arba serveris yra prijungtas prie interneto, turite apsaugokite savo SSH ryšius (pvz., išjungiant slaptažodžiu pagrįstus SSH prisijungimus).

Stebėdami SSH prisijungimus galėsite gerai suprasti, ar kas nors nebando jūsų sistemoje panaudoti žiaurią jėgą.

Pagal numatytuosius nustatymus SSH registravimas kai kuriose sistemose yra išjungtas. Jį galite įjungti redaguodami /etc/ssh/sshd_config failą. Naudokite bet kurią mėgstamą teksto rengyklę ir panaikinkite eilutės komentarus LogLevel INFORMACIJA ir taip pat redaguoti į LogLevel VERBOSE. Po pakeitimų jis turėtų atrodyti taip, kaip nurodyta toliau:

Atlikę šį pakeitimą turėsite iš naujo paleisti SSH paslaugą:

sudo systemctl iš naujo paleiskite ssh

Visi SSH prisijungimai arba veikla dabar bus užregistruoti /var/log/auth.log failą. Faile yra daug informacijos, skirtos stebėti prisijungimus ir bandymus prisijungti prie jūsų „Linux“ sistemos.

Galite naudoti katė komandą ar bet kurį kitą išvesties įrankį, skirtą nuskaityti turinį auth.log failas:

cat /var/log/auth.log

Norėdami filtruoti konkrečius SSH prisijungimus, naudokite grep. Pavyzdžiui, norėdami nurodyti nesėkmingus prisijungimo bandymus, galite paleisti šią komandą:

sudo grep "Nepavyko" /var/log/auth.log

Be nesėkmingų prisijungimo bandymų peržiūros, taip pat naudinga pažvelgti į prisijungusius vartotojus ir aptikti, ar nėra įtartinų; pavyzdžiui, buvę darbuotojai.

4. FTP prisijungimų stebėjimas sistemoje „Linux“.

FTP yra plačiai naudojamas protokolas failams perduoti tarp kliento ir serverio. Kad galėtumėte perkelti failus, turite būti autentifikuotas serveryje.

Kadangi paslauga apima failų perkėlimą, bet kokie saugumo pažeidimai gali turėti rimtų pasekmių jūsų privatumui. Laimei, galite lengvai stebėti FTP prisijungimus ir visą kitą susijusią veiklą, filtruodami pagal „FTP“ /var/log/syslog failą naudodami šią komandą:

grep ftp /var/log/syslog

Stebėkite prisijungimus sistemoje „Linux“, kad užtikrintumėte geresnį saugumą

Kiekvienas sistemos administratorius turėtų būti aktyvus, kad apsaugotų savo sistemą. Kartkartėmis stebėti prisijungimus yra geriausias būdas aptikti įtartiną veiklą.

Taip pat galite naudoti tokius įrankius kaip fail2ban, kad automatiškai atliktumėte prevencines priemones jūsų vardu.