Као систем администратору, важно је редовно пратити пријављивање корисника на Линук систем ради сумњивих активности.

Било да сте Линук администратор са серверима и више корисника под вашим сатом или обичан корисник Линука, увек је добро бити проактиван у обезбеђивању свог система.

Један од начина на који можете активно да заштитите свој систем је праћење пријављивања корисника, посебно тренутно пријављених корисника и неуспешних пријава или покушаја пријављивања.

Зашто надгледати пријаве на Линук-у?

Надгледање пријављивања на ваш Линук систем је важна активност из неколико разлога:

  • Сагласност: Већина ИТ безбедносних стандарда, прописа и влада захтевају да надгледате евиденције како би били у складу са најбољим индустријским праксама.
  • безбедност: Евиденције надгледања ће вам помоћи да побољшате безбедност на вашим системима јер имате видљивост корисника који приступају вашем систему или покушавају да приступе. Ово вам омогућава да предузмете превентивне мере ако приметите нежељене активности пријављивања.
    • instagram viewer
  • Решавање проблема: Сазнајте зашто корисник можда има проблема са пријављивањем на ваш систем.
  • Ревизорски траг: Дневници пријављивања су добар извор информација за ревизије ИТ безбедности и сродне активности.

Постоје четири главна типа пријављивања које треба да надгледате на свом систему: успешне пријаве, неуспеле пријаве, ССХ пријаве и ФТП пријаве. Хајде да погледамо како можете да надгледате сваки од њих на Линук-у.

1. Користећи последњу команду

последњи је моћан услужни програм командне линије за праћење претходних пријављивања на ваш систем, укључујући успешне и неуспеле пријаве. Поред тога, такође приказује искључивање система, поновно покретање и одјављивање.

Једноставно отворите свој терминал и покрените следећу команду да бисте приказали све информације за пријаву:

последњи

Можете користити греп за филтрирање одређених пријава. На пример, да листа тренутно пријављених корисника, можете покренути наредбу:

ласт | греп "пријављен"

Такође можете користити в команда за приказ пријављених корисника и шта они раде; да бисте то урадили, једноставно унесите в у терминалу.

2. Коришћење команде ластлог

Тхе ластлог услужни програм приказује детаље за пријаву свих корисника, укључујући стандардне кориснике, кориснике система и кориснике налога услуге.

судо ластлог

Излаз садржи све кориснике, приказане у уредном формату који приказује њихово корисничко име, порт који користе, изворну ИП адресу и временску ознаку на коју су се пријавили.

Погледајте ман странице последњег дневника користећи команду човек ластлог да бисте сазнали више о његовој употреби и опцијама команди.

3. Надгледање ССХ пријава на Линук-у

Један од најчешћих начина за добијање удаљеног приступа Линук серверима је преко ССХ. Ако је ваш рачунар или сервер повезан на интернет, морате обезбедите своје ССХ везе (на пример, онемогућавањем ССХ пријављивања заснованих на лозинкама).

Надгледање ССХ пријава ће вам дати добар преглед да ли неко покушава да уведе грубу силу у ваш систем.

Подразумевано, ССХ евидентирање је онемогућено на неким системима. Можете га омогућити уређивањем /etc/ssh/sshd_config фајл. Користите било који од својих омиљених уређивача текста и скините коментар са линије ЛогЛевел ИНФО и такође га уредити на ЛогЛевел ВЕРБОСЕ. Требало би да изгледа слично следећем након промена:

Мораћете да поново покренете ССХ услугу након што извршите ову промену:

судо системцтл рестарт ссх

Све ССХ пријаве или активности ће сада бити евидентиране на /var/log/auth.log фајл. Датотека садржи гомилу информација за праћење пријављивања и покушаја пријављивања на ваш Линук систем.

Можете користити мачка команду или било који други излазни алат за читање садржаја аутх.лог фајл:

мачка /вар/лог/аутх.лог

Користите греп за филтрирање одређених ССХ пријава. На пример, да бисте навели неуспеле покушаје пријављивања, можете покренути следећу команду:

судо греп "Неуспешно" /вар/лог/аутх.лог

Осим прегледа неуспешних покушаја пријављивања, такође је добра идеја да погледате пријављене кориснике и откријете да ли има сумњивих; на пример, бивши запослени.

4. Надгледање ФТП пријава на Линук-у

ФТП је широко коришћен протокол за пренос датотека између клијента и сервера. Морате бити аутентификовани на серверу да бисте могли да преносите датотеке.

Пошто услуга укључује пренос датотека, свако кршење безбедности може имати озбиљне импликације по вашу приватност. Срећом, можете лако пратити ФТП пријаве и све друге повезане активности филтрирањем за „ФТП“ у /var/log/syslog датотеку користећи следећу команду:

греп фтп /вар/лог/сислог

Пратите пријаве на Линук-у за бољу безбедност

Сваки систем администратор треба да буде проактиван у обезбеђивању свог система. Надгледање ваших пријава с времена на време је најбољи начин за откривање сумњивих активности.

Такође можете да користите алате као што је фаил2бан да аутоматски спроводите превентивне мере у ваше име.