Как системный администратор, важно регулярно отслеживать входы пользователей в систему Linux на предмет подозрительных действий.
Независимо от того, являетесь ли вы администратором Linux с серверами и несколькими пользователями под вашим наблюдением или обычным пользователем Linux, всегда полезно проявлять инициативу в обеспечении безопасности вашей системы.
Одним из способов активной защиты вашей системы является отслеживание входа пользователей в систему, особенно зарегистрированных в данный момент пользователей, а также неудачных входов или попыток входа.
Зачем отслеживать логины в Linux?
Мониторинг входов в систему в вашей системе Linux является важным действием по нескольким причинам:
- Согласие: Большинство стандартов, нормативных актов и государственных органов в области ИТ-безопасности требуют, чтобы вы отслеживали журналы в соответствии с лучшими отраслевыми практиками.
- Безопасность: Журналы мониторинга помогут вам повысить безопасность ваших систем, поскольку у вас есть представление о пользователях, которые обращаются или пытаются получить доступ к вашей системе. Это позволяет вам принимать превентивные меры, если вы заметили нежелательные действия при входе в систему.
- Поиск неисправностей: Узнайте, почему у пользователя могут возникнуть проблемы со входом в вашу систему.
- Контрольный след: Журналы входа в систему являются хорошим источником информации для аудита ИТ-безопасности и связанных с этим действий.
Существует четыре основных типа входов в систему, которые вы должны отслеживать в своей системе: успешные входы, неудачные входы, входы SSH и входы FTP. Давайте посмотрим, как вы можете отслеживать каждый из них в Linux.
1. Использование последней команды
последний — мощная утилита командной строки для мониторинга предыдущих входов в систему, включая успешные и неудачные входы. Кроме того, он также отображает завершение работы системы, перезагрузку и выход из системы.
Просто откройте свой терминал и выполните следующую команду, чтобы отобразить всю информацию для входа:
последний
Вы можете использовать grep для фильтрации определенных логинов. Например, чтобы список текущих зарегистрированных пользователей, вы можете запустить команду:
последний | grep "вошел в систему"
Вы также можете использовать ж команда для отображения вошедших в систему пользователей и того, что они делают; для этого просто введите ж в терминале.
2. Использование команды lastlog
ластлог Утилита отображает данные для входа в систему всех пользователей, включая обычных пользователей, системных пользователей и пользователей учетной записи службы.
судо ластлог
Вывод содержит всех пользователей, отображаемых в аккуратном формате, который показывает их имя пользователя, порт, который они используют, исходный IP-адрес и отметку времени, в которой они вошли в систему.
Просмотрите справочные страницы lastlog с помощью команды мужчина ластлог чтобы узнать больше о его использовании и параметрах команды.
3. Мониторинг SSH-входов в Linux
Один из наиболее распространенных способов получить удаленный доступ к серверам Linux — через SSH. Если ваш ПК или сервер подключен к Интернету, вы должны защитите свои SSH-соединения (например, отключив вход в SSH на основе пароля).
Мониторинг входа в систему SSH даст вам хорошее представление о том, пытается ли кто-нибудь взломать вашу систему.
По умолчанию ведение журнала SSH отключено в некоторых системах. Вы можете включить его, отредактировав /etc/ssh/sshd_config файл. Используйте любой из ваших любимых текстовых редакторов и раскомментируйте строку ИНФОРМАЦИЯ об уровне журнала а также отредактируйте его на ПОДРОБНО. После внесения изменений он должен выглядеть примерно так:
Вам нужно будет перезапустить службу SSH после внесения этого изменения:
sudo systemctl перезапустить ssh
Все входы в систему или действия SSH теперь будут регистрироваться в /var/log/auth.log файл. Файл содержит массу информации для мониторинга входов в систему и попыток входа в вашу систему Linux.
Вы можете использовать кот команда или любой другой инструмент вывода для чтения содержимого auth.log файл:
кот /var/log/auth.log
Используйте grep для фильтрации определенных логинов SSH. Например, чтобы вывести список неудачных попыток входа в систему, вы можете запустить следующую команду:
sudo grep "Ошибка" /var/log/auth.log
Помимо просмотра неудачных попыток входа в систему, также рекомендуется просмотреть зарегистрированных пользователей и определить, есть ли какие-либо подозрительные; например, бывшие сотрудники.
4. Мониторинг FTP-входов в Linux
FTP — широко используемый протокол для передачи файлов между клиентом и сервером. Вы должны пройти аутентификацию на сервере, чтобы иметь возможность передавать файлы.
Поскольку служба включает передачу файлов, любые нарушения безопасности могут иметь серьезные последствия для вашей конфиденциальности. К счастью, вы можете легко отслеживать входы в систему FTP и все другие связанные действия, отфильтровав «FTP» в /var/log/syslog файл с помощью следующей команды:
grep ftp /var/log/syslog
Мониторинг логинов в Linux для повышения безопасности
Каждый системный администратор должен проявлять инициативу в обеспечении безопасности своей системы. Периодический мониторинг ваших входов в систему — лучший способ обнаружить подозрительную активность.
Вы также можете использовать такие инструменты, как fail2ban, для автоматического выполнения профилактических мер от вашего имени.