Rendszeradminisztrátorként fontos, hogy rendszeresen figyelje a felhasználói bejelentkezéseket egy Linux rendszeren a gyanús tevékenységek miatt.

Legyen szó Linux-adminisztrátorról, aki kiszolgálókkal és több felhasználóval dolgozik, vagy rendszeres Linux-felhasználóról van szó, mindig jó, ha proaktívan védi rendszerét.

A rendszer aktív védelmének egyik módja a felhasználói bejelentkezések figyelése, különösen a jelenleg bejelentkezett felhasználók és a sikertelen bejelentkezések vagy bejelentkezési kísérletek.

Miért figyeli a bejelentkezéseket Linuxon?

A bejelentkezések figyelése a Linux rendszeren több okból is fontos tevékenység:

  • Megfelelés: A legtöbb IT-biztonsági szabvány, szabályozás és kormány megköveteli, hogy a naplókat figyelje, hogy azok megfeleljenek a legjobb iparági gyakorlatnak.
  • Biztonság: A megfigyelési naplók segítenek a rendszer biztonságának javításában, mivel láthatja azokat a felhasználókat, akik hozzáférnek a rendszerhez, vagy megpróbálnak hozzáférni. Ez lehetővé teszi a megelőző intézkedések megtételét, ha nem kívánt bejelentkezési tevékenységeket észlel.
    • instagram viewer
  • Hibaelhárítás: Nézze meg, miért lehet a felhasználónak problémája a rendszerbe való bejelentkezéssel.
  • Ellenőrzési nyomvonal: A bejelentkezési naplók jó információforrást jelentenek az IT-biztonsági auditokhoz és a kapcsolódó tevékenységekhez.

A bejelentkezéseknek négy fő típusát kell figyelnie a rendszeren: sikeres bejelentkezések, sikertelen bejelentkezések, SSH-bejelentkezések és FTP-bejelentkezések. Nézzük meg, hogyan figyelheti meg ezeket Linuxon.

1. Az utolsó parancs használata

utolsó egy hatékony parancssori segédprogram a rendszer korábbi bejelentkezéseinek megfigyelésére, beleértve a sikeres és sikertelen bejelentkezéseket is. Ezenkívül megjeleníti a rendszerleállásokat, újraindításokat és kijelentkezéseket is.

Egyszerűen nyissa meg a terminált, és futtassa a következő parancsot az összes bejelentkezési információ megjelenítéséhez:

utolsó

A grep segítségével szűrhet bizonyos bejelentkezéseket. Például, hogy listázza az aktuális bejelentkezett felhasználókat, futtathatja a következő parancsot:

utolsó | grep "bejelentkezve"

Használhatja a w parancs, amely megmutatja a bejelentkezett felhasználókat és azt, hogy mit csinálnak; ehhez egyszerűen lépjen be w a terminálban.

2. A lastlog parancs használata

A lastlog segédprogram megjeleníti az összes felhasználó bejelentkezési adatait, beleértve a normál felhasználókat, a rendszerfelhasználókat és a szolgáltatásfiók-felhasználókat.

sudo lastlog

A kimenet az összes felhasználót tartalmazza, szép formátumban, amelyen megjelenik a felhasználónevük, az általuk használt port, az eredeti IP-cím és az időbélyeg, amellyel bejelentkeztek.

Tekintse meg a lastlog kézikönyvoldalait a paranccsal férfi lastlog hogy többet megtudjon a használatáról és a parancslehetőségeiről.

3. SSH-bejelentkezések figyelése Linuxon

A Linux szerverekhez való távoli hozzáférés egyik leggyakoribb módja az SSH. Ha számítógépe vagy kiszolgálója csatlakozik az internethez, ezt meg kell tennie biztosítsa az SSH-kapcsolatait (például a jelszó alapú SSH bejelentkezés letiltásával).

Az SSH-bejelentkezések figyelése jó áttekintést ad arról, hogy valaki megpróbál-e brutális erőszakkal behatolni a rendszerébe.

Alapértelmezés szerint az SSH-naplózás egyes rendszereken le van tiltva. A szerkesztéssel engedélyezheti /etc/ssh/sshd_config fájlt. Használja bármelyik kedvenc szövegszerkesztőjét, és törölje a sor megjegyzéseit LogLevel INFO és szerkessze is erre LogLevel VERBOSE. A módosítások után a következőhöz hasonlóan kell kinéznie:

A módosítás után újra kell indítania az SSH szolgáltatást:

sudo systemctl indítsa újra az ssh-t

Az összes SSH bejelentkezés vagy tevékenység most naplózásra kerül a /var/log/auth.log fájlt. A fájl rengeteg információt tartalmaz a bejelentkezések és a bejelentkezési kísérletek megfigyeléséhez a Linux rendszeren.

Használhatja a macska paranccsal vagy bármilyen más kimeneti eszközzel, amellyel beolvashatja a auth.log fájl:

cat /var/log/auth.log

A grep segítségével szűrhet bizonyos SSH-bejelentkezéseket. Például a sikertelen bejelentkezési kísérletek listázásához futtassa a következő parancsot:

sudo grep "Sikertelen" /var/log/auth.log

A sikertelen bejelentkezési kísérletek megtekintése mellett érdemes megnézni a bejelentkezett felhasználókat is, és észlelni, hogy vannak-e gyanúsak; például a volt alkalmazottak.

4. FTP-bejelentkezések figyelése Linuxon

Az FTP egy széles körben használt protokoll a fájlok kliens és szerver közötti átvitelére. A fájlok átviteléhez hitelesíteni kell a szerveren.

Mivel a szolgáltatás fájlok átvitelét foglalja magában, a biztonság megsértése súlyos következményekkel járhat az Ön magánéletére nézve. Szerencsére könnyen nyomon követheti az FTP-bejelentkezéseket és az összes többi kapcsolódó tevékenységet, ha a /var/log/syslog fájl a következő paranccsal:

grep ftp /var/log/syslog

Figyelje a bejelentkezéseket Linuxon a jobb biztonság érdekében

Minden rendszergazdának proaktívnak kell lennie a rendszer biztonsága érdekében. A gyanús tevékenységek észlelésének legjobb módja a bejelentkezések időnkénti megfigyelése.

Használhat olyan eszközöket is, mint például a fail2ban, hogy automatikusan végrehajtson megelőző intézkedéseket az Ön nevében.