Как системный администратор, важно регулярно отслеживать входы пользователей в систему Linux на предмет подозрительных действий.

Независимо от того, являетесь ли вы администратором Linux с серверами и несколькими пользователями под вашим наблюдением или обычным пользователем Linux, всегда полезно проявлять инициативу в обеспечении безопасности вашей системы.

Одним из способов активной защиты вашей системы является отслеживание входа пользователей в систему, особенно зарегистрированных в данный момент пользователей, а также неудачных входов или попыток входа.

Зачем отслеживать логины в Linux?

Мониторинг входов в систему в вашей системе Linux является важным действием по нескольким причинам:

  • Согласие: Большинство стандартов, нормативных актов и государственных органов в области ИТ-безопасности требуют, чтобы вы отслеживали журналы в соответствии с лучшими отраслевыми практиками.
  • Безопасность: Журналы мониторинга помогут вам повысить безопасность ваших систем, поскольку у вас есть представление о пользователях, которые обращаются или пытаются получить доступ к вашей системе. Это позволяет вам принимать превентивные меры, если вы заметили нежелательные действия при входе в систему.
    instagram viewer
  • Поиск неисправностей: Узнайте, почему у пользователя могут возникнуть проблемы со входом в вашу систему.
  • Контрольный след: Журналы входа в систему являются хорошим источником информации для аудита ИТ-безопасности и связанных с этим действий.

Существует четыре основных типа входов в систему, которые вы должны отслеживать в своей системе: успешные входы, неудачные входы, входы SSH и входы FTP. Давайте посмотрим, как вы можете отслеживать каждый из них в Linux.

1. Использование последней команды

последний — мощная утилита командной строки для мониторинга предыдущих входов в систему, включая успешные и неудачные входы. Кроме того, он также отображает завершение работы системы, перезагрузку и выход из системы.

Просто откройте свой терминал и выполните следующую команду, чтобы отобразить всю информацию для входа:

последний

Вы можете использовать grep для фильтрации определенных логинов. Например, чтобы список текущих зарегистрированных пользователей, вы можете запустить команду:

последний | grep "вошел в систему"

Вы также можете использовать ж команда для отображения вошедших в систему пользователей и того, что они делают; для этого просто введите ж в терминале.

2. Использование команды lastlog

ластлог Утилита отображает данные для входа в систему всех пользователей, включая обычных пользователей, системных пользователей и пользователей учетной записи службы.

судо ластлог

Вывод содержит всех пользователей, отображаемых в аккуратном формате, который показывает их имя пользователя, порт, который они используют, исходный IP-адрес и отметку времени, в которой они вошли в систему.

Просмотрите справочные страницы lastlog с помощью команды мужчина ластлог чтобы узнать больше о его использовании и параметрах команды.

3. Мониторинг SSH-входов в Linux

Один из наиболее распространенных способов получить удаленный доступ к серверам Linux — через SSH. Если ваш ПК или сервер подключен к Интернету, вы должны защитите свои SSH-соединения (например, отключив вход в SSH на основе пароля).

Мониторинг входа в систему SSH даст вам хорошее представление о том, пытается ли кто-нибудь взломать вашу систему.

По умолчанию ведение журнала SSH отключено в некоторых системах. Вы можете включить его, отредактировав /etc/ssh/sshd_config файл. Используйте любой из ваших любимых текстовых редакторов и раскомментируйте строку ИНФОРМАЦИЯ об уровне журнала а также отредактируйте его на ПОДРОБНО. После внесения изменений он должен выглядеть примерно так:

Вам нужно будет перезапустить службу SSH после внесения этого изменения:

sudo systemctl перезапустить ssh

Все входы в систему или действия SSH теперь будут регистрироваться в /var/log/auth.log файл. Файл содержит массу информации для мониторинга входов в систему и попыток входа в вашу систему Linux.

Вы можете использовать кот команда или любой другой инструмент вывода для чтения содержимого auth.log файл:

кот /var/log/auth.log

Используйте grep для фильтрации определенных логинов SSH. Например, чтобы вывести список неудачных попыток входа в систему, вы можете запустить следующую команду:

sudo grep "Ошибка" /var/log/auth.log

Помимо просмотра неудачных попыток входа в систему, также рекомендуется просмотреть зарегистрированных пользователей и определить, есть ли какие-либо подозрительные; например, бывшие сотрудники.

4. Мониторинг FTP-входов в Linux

FTP — широко используемый протокол для передачи файлов между клиентом и сервером. Вы должны пройти аутентификацию на сервере, чтобы иметь возможность передавать файлы.

Поскольку служба включает передачу файлов, любые нарушения безопасности могут иметь серьезные последствия для вашей конфиденциальности. К счастью, вы можете легко отслеживать входы в систему FTP и все другие связанные действия, отфильтровав «FTP» в /var/log/syslog файл с помощью следующей команды:

grep ftp /var/log/syslog

Мониторинг логинов в Linux для повышения безопасности

Каждый системный администратор должен проявлять инициативу в обеспечении безопасности своей системы. Периодический мониторинг ваших входов в систему — лучший способ обнаружить подозрительную активность.

Вы также можете использовать такие инструменты, как fail2ban, для автоматического выполнения профилактических мер от вашего имени.