Som systemadministrator er det vigtigt regelmæssigt at overvåge brugerlogin på et Linux-system for mistænkelige aktiviteter.
Uanset om du er en Linux-administrator med servere og flere brugere under dit vagt eller en almindelig Linux-bruger, er det altid godt at være proaktiv med at sikre dit system.
En af måderne, du aktivt kan sikre dit system på, er ved at overvåge brugerlogin, især aktuelt loggede brugere og mislykkede login eller loginforsøg.
Hvorfor overvåge logins på Linux?
Overvågning af logins på dit Linux-system er en vigtig aktivitet af flere årsager:
- Overholdelse: De fleste it-sikkerhedsstandarder, regulativer og regeringer kræver, at du overvåger logfiler for at være i overensstemmelse med bedste industripraksis.
- Sikkerhed: Overvågningslogfiler vil hjælpe dig med at forbedre sikkerheden på dine systemer, fordi du har synlighed på de brugere, der tilgår eller forsøger at få adgang til dit system. Dette giver dig mulighed for at træffe forebyggende foranstaltninger, hvis du bemærker uønskede login-aktiviteter.
- Fejlfinding: Find ud af, hvorfor en bruger kan have problemer med at logge ind på dit system.
- Revisionsspor: Login logs er en god kilde til information til it-sikkerhedsrevisioner og relaterede aktiviteter.
Der er fire hovedtyper af logins, som du bør overvåge på dit system: succesfulde logins, mislykkede logins, SSH logins og FTP logins. Lad os se på, hvordan du kan overvåge hver af disse på Linux.
1. Brug af den sidste kommando
sidst er et kraftfuldt kommandolinjeværktøj til overvågning af tidligere logins på dit system, inklusive succesfulde og mislykkede logins. Derudover viser den også systemnedlukninger, genstarter og logout.
Du skal blot åbne din terminal og køre følgende kommando for at få vist alle loginoplysninger:
sidstDu kan bruge grep til at filtrere efter specifikke logins. For eksempel til liste aktuelle loggede brugere, kan du køre kommandoen:
sidste | grep "logget ind"Du kan også bruge w kommando til at vise loggede brugere og hvad de laver; for at gøre det, skal du blot indtaste w i terminalen.
2. Brug lastlog kommandoen
Det sidste log hjælpeprogrammet viser loginoplysninger for alle brugere, inklusive standardbrugere, systembrugere og servicekontobrugere.
sudo lastlogOutputtet indeholder alle brugerne, vist i et pænt format, der viser deres brugernavn, den port, de bruger, oprindelses-IP-adressen og tidsstemplet, de loggede på.
Tjek lastlog-man-siderne ved hjælp af kommandoen mand sidste log for at lære mere om dens brug og kommandomuligheder.
3. Overvågning af SSH-logins på Linux
En af de mest almindelige måder at få fjernadgang til Linux-servere på er via SSH. Hvis din pc eller server er forbundet til internettet, skal du sikre dine SSH-forbindelser (ved at deaktivere adgangskodebaserede SSH-logins, for eksempel).
Overvågning af SSH-logins vil give dig et godt overblik over, om nogen forsøger at bruge brute force ind i dit system.
Som standard er SSH-logning deaktiveret på nogle systemer. Du kan aktivere det ved at redigere /etc/ssh/sshd_config fil. Brug en af dine yndlingsteksteditorer, og fjern kommentarer til linjen LogLevel INFO og også redigere det til LogNiveau VERBOSE. Det skal se ud som følgende efter ændringerne:
Du skal genstarte SSH-tjenesten efter at have foretaget denne ændring:
sudo systemctl genstart sshAlle SSH logins eller aktiviteter vil nu blive logget på /var/log/auth.log fil. Filen indeholder et væld af oplysninger til overvågning af logins og loginforsøg på dit Linux-system.
Du kan bruge kat kommando eller ethvert andet outputværktøj til at læse indholdet af auth.log fil:
kat /var/log/auth.logBrug grep til at filtrere efter specifikke SSH-logins. For at angive mislykkede loginforsøg kan du for eksempel køre følgende kommando:
sudo grep "Failed" /var/log/auth.logUdover at se mislykkede loginforsøg, er det også en god idé at se på de loggede brugere og opdage, om der er nogen mistænkelige; for eksempel tidligere ansatte.
4. Overvågning af FTP-logins på Linux
FTP er en meget brugt protokol til overførsel af filer mellem en klient og en server. Du skal være autentificeret på serveren for at kunne overføre filer.
Da tjenesten involverer overførsel af filer, kan eventuelle sikkerhedsbrud have alvorlige konsekvenser for dit privatliv. Heldigvis kan du nemt overvåge FTP-login og alle andre relaterede aktiviteter ved at filtrere efter "FTP" i /var/log/syslog fil ved hjælp af følgende kommando:
grep ftp /var/log/syslogOvervåg logins på Linux for bedre sikkerhed
Enhver systemadministrator bør være proaktiv med at sikre deres system. Overvågning af dine logins fra tid til anden er den bedste måde at opdage mistænkelig aktivitet på.
Du kan også bruge værktøjer som fail2ban til automatisk at udføre forebyggende foranstaltninger på dine vegne.
