Süsteemiadministraatorina on oluline regulaarselt jälgida kasutajate sisselogimisi Linuxi süsteemis kahtlaste tegevuste suhtes.
Olenemata sellest, kas olete Linuxi administraator, kellel on serverid ja mitu kasutajat, või tavaline Linuxi kasutaja, on alati hea oma süsteemi turvalisuse tagamisel ennetav olla.
Üks viise, kuidas oma süsteemi aktiivselt kaitsta, on jälgida kasutajate sisselogimisi, eriti praegu sisseloginud kasutajaid ja ebaõnnestunud sisselogimisi või sisselogimiskatseid.
Miks jälgida sisselogimisi Linuxis?
Sisselogimiste jälgimine teie Linuxi süsteemis on oluline tegevus mitmel põhjusel.
- Vastavus: Enamik IT-turbestandardeid, eeskirju ja valitsusi nõuavad, et jälgiksite logisid, et need vastaksid valdkonna parimatele tavadele.
- Turvalisus: Logide jälgimine aitab teil parandada oma süsteemide turvalisust, kuna näete kasutajaid, kes teie süsteemile juurde pääsevad või seda üritavad. See võimaldab võtta ennetavaid meetmeid, kui märkate soovimatuid sisselogimistoiminguid.
- Veaotsing: Uurige välja, miks kasutajal võib olla probleeme teie süsteemi sisselogimisega.
- Kontrolljälg: Sisselogimislogid on hea infoallikas IT-turvaauditite ja sellega seotud tegevuste jaoks.
On neli peamist sisselogimistüüpi, mida peaksite oma süsteemis jälgima: edukad sisselogimised, ebaõnnestunud sisselogimised, SSH-sisselogimised ja FTP-sisselogimised. Vaatame, kuidas saate neid kõiki Linuxis jälgida.
1. Kasutades viimast käsku
viimane on võimas käsurea utiliit teie süsteemi varasemate sisselogimiste jälgimiseks, sealhulgas edukate ja ebaõnnestunud sisselogimiste jälgimiseks. Lisaks kuvab see ka süsteemi sulgemisi, taaskäivitusi ja väljalogimisi.
Lihtsalt avage oma terminal ja käivitage kogu sisselogimisteabe kuvamiseks järgmine käsk:
viimane
Saate kasutada grep-i konkreetsete sisselogimiste filtreerimiseks. Näiteks selleks loetlege praegused sisselogitud kasutajad, saate käivitada käsu:
viimane | grep "sisse logitud"
Võite kasutada ka w käsk sisselogitud kasutajate ja nende tegemiste kuvamiseks; selleks sisestage lihtsalt w terminalis.
2. Kasutades käsku lastlog
The lastlog utiliit kuvab kõigi kasutajate, sealhulgas tavakasutajate, süsteemikasutajate ja teenusekonto kasutajate sisselogimisandmed.
sudo lastlog
Väljund sisaldab kõiki kasutajaid, mis kuvatakse korralikus vormingus, mis näitab nende kasutajanime, kasutatavat porti, päritolu IP-aadressi ja ajatemplit, millega nad sisse logisid.
Kontrollige käsuga lastlogi manlehti mees lastlog selle kasutamise ja käsuvalikute kohta lisateabe saamiseks.
3. SSH sisselogimiste jälgimine Linuxis
Üks levinumaid viise Linuxi serveritele kaugjuurdepääsu saamiseks on SSH kaudu. Kui teie arvuti või server on Internetiga ühendatud, peate seda tegema kaitske oma SSH-ühendusi (näiteks paroolipõhise SSH sisselogimise keelamisega).
SSH sisselogimiste jälgimine annab teile hea ülevaate sellest, kas keegi üritab teie süsteemi jõhkrat jõudu rakendada.
Vaikimisi on SSH logimine mõnes süsteemis keelatud. Saate selle lubada redigeerides /etc/ssh/sshd_config faili. Kasutage mõnda oma lemmiktekstiredaktorit ja tühjendage rea kommentaarid LogiLevel INFO ja muutke seda ka LogiLevel SUURNE. Pärast muudatusi peaks see välja nägema sarnane järgmiselt:
Pärast selle muudatuse tegemist peate SSH-teenuse taaskäivitama.
sudo systemctl taaskäivitage ssh
Kõik SSH sisselogimised või tegevused logitakse nüüd teenusesse /var/log/auth.log faili. Fail sisaldab palju teavet teie Linuxi süsteemi sisselogimiste ja sisselogimiskatsete jälgimiseks.
Võite kasutada kass käsu või muu väljundtööriista sisu lugemiseks auth.log fail:
cat /var/log/auth.log
Kasutage konkreetsete SSH sisselogimiste filtreerimiseks grep. Näiteks ebaõnnestunud sisselogimiskatsete loetlemiseks võite käivitada järgmise käsu:
sudo grep "Ebaõnnestus" /var/log/auth.log
Lisaks ebaõnnestunud sisselogimiskatsete vaatamisele on hea mõte vaadata ka sisselogitud kasutajaid ja tuvastada, kas seal on kahtlasi; näiteks endised töötajad.
4. FTP-sisselogimiste jälgimine Linuxis
FTP on laialdaselt kasutatav protokoll failide edastamiseks kliendi ja serveri vahel. Failide edastamiseks peate olema serveris autentitud.
Kuna teenus hõlmab failide edastamist, võivad kõik turvarikkumised teie privaatsusele tõsiselt mõjutada. Õnneks saate hõlpsalt jälgida FTP sisselogimisi ja kõiki muid seotud tegevusi, filtreerides "FTP" /var/log/syslog faili kasutades järgmist käsku:
grep ftp /var/log/syslog
Parema turvalisuse tagamiseks jälgige Linuxis sisselogimisi
Iga süsteemiadministraator peaks olema ennetav oma süsteemi turvalisuse tagamisel. Oma sisselogimiste aeg-ajalt jälgimine on parim viis kahtlase tegevuse tuvastamiseks.
Saate kasutada ka selliseid tööriistu nagu fail2ban, et teie nimel automaatselt ennetusmeetmeid rakendada.