Като системен администратор е важно редовно да наблюдавате влизанията на потребителите в Linux система за подозрителни дейности.

Независимо дали сте Linux администратор със сървъри и множество потребители под ваше наблюдение или обикновен потребител на Linux, винаги е добре да бъдете проактивни в защитата на вашата система.

Един от начините, по които можете активно да защитите системата си, е като наблюдавате потребителските влизания, особено текущо влезлите потребители и неуспешните влизания или опити за влизане.

Защо да наблюдавате влизанията в Linux?

Наблюдението на влизанията във вашата Linux система е важна дейност поради няколко причини:

  • Съответствие: Повечето стандарти за ИТ сигурност, разпоредби и правителства изискват да наблюдавате регистрационните файлове, за да отговарят на най-добрите индустриални практики.
  • Сигурност: Дневниците за наблюдение ще ви помогнат да подобрите сигурността на вашите системи, тъй като имате видимост за потребителите, които имат достъп или се опитват да осъществят достъп до вашата система. Това ви позволява да вземете превантивни мерки, ако забележите нежелани дейности при влизане.
    instagram viewer
  • Отстраняване на неизправности: Разберете защо даден потребител може да има проблеми с влизането във вашата система.
  • Одитна пътека: Регистрационните файлове за влизане са добър източник на информация за одити на ИТ сигурността и свързани дейности.

Има четири основни типа влизания, които трябва да наблюдавате във вашата система: успешни влизания, неуспешни влизания, SSH влизания и FTP влизания. Нека да разгледаме как можете да наблюдавате всяко от тях на Linux.

1. Използване на последната команда

последно е мощна помощна програма от командния ред за наблюдение на предишни влизания във вашата система, включително успешни и неуспешни влизания. В допълнение, той също така показва изключвания на системата, рестартирания и излизания.

Просто отворете вашия терминал и изпълнете следната команда, за да покажете цялата информация за вход:

последно

Можете да използвате grep за филтриране за конкретни влизания. Например, за да списък на текущите влезли потребители, можете да изпълните командата:

последно | grep "влезли"

Можете също да използвате w команда за показване на влезли потребители и какво правят; за да направите това, просто въведете w в терминала.

2. Използване на командата lastlog

The lastlog помощната програма показва данните за вход на всички потребители, включително стандартни потребители, системни потребители и потребители на акаунти за услуги.

sudo lastlog

Резултатът съдържа всички потребители, показани в чист формат, който показва тяхното потребителско име, порта, който използват, първоначалния IP адрес и клеймото за време, в което са влезли.

Разгледайте man страниците на lastlog с помощта на командата човек lastlog за да научите повече за неговото използване и командни опции.

3. Мониторинг на SSH влизания в Linux

Един от най-често срещаните начини за получаване на отдалечен достъп до Linux сървъри е чрез SSH. Ако вашият компютър или сървър е свързан към интернет, трябва защитете вашите SSH връзки (като деактивирате SSH влизания, базирани на парола, например).

Наблюдаването на влизанията в SSH ще ви даде добра представа дали някой се опитва да проникне грубо във вашата система.

По подразбиране SSH регистрирането е деактивирано на някои системи. Можете да го активирате, като редактирате /etc/ssh/sshd_config файл. Използвайте някой от любимите си текстови редактори и разкоментирайте реда LogLevel INFO и също така да го редактирате LogLevel VERBOSE. След промените трябва да изглежда подобно на следното:

Ще трябва да рестартирате SSH услугата, след като направите тази промяна:

sudo systemctl рестартирайте ssh

Всички SSH влизания или дейности вече ще бъдат регистрирани в /var/log/auth.log файл. Файлът съдържа много информация за наблюдение на влизания и опити за влизане във вашата Linux система.

Можете да използвате котка команда или друг изходен инструмент за четене на съдържанието на auth.log файл:

котка /var/log/auth.log

Използвайте grep, за да филтрирате конкретни влизания в SSH. Например, за да изброите неуспешните опити за влизане, можете да изпълните следната команда:

sudo grep "Неуспешно" /var/log/auth.log

Освен преглед на неуспешните опити за влизане, също е добра идея да прегледате влезлите потребители и да откриете дали има подозрителни; например бивши служители.

4. Мониторинг на FTP влизания в Linux

FTP е широко използван протокол за прехвърляне на файлове между клиент и сървър. Трябва да сте удостоверени на сървъра, за да можете да прехвърляте файлове.

Тъй като услугата включва прехвърляне на файлове, всякакви пробиви в сигурността могат да имат сериозни последици за вашата поверителност. За щастие можете лесно да наблюдавате FTP влизанията и всички други свързани дейности, като филтрирате за „FTP“ в /var/log/syslog файл с помощта на следната команда:

grep ftp /var/log/syslog

Наблюдавайте влизанията в Linux за по-добра сигурност

Всеки системен администратор трябва да бъде проактивен в защитата на своята система. Наблюдаването на влизанията ви от време на време е най-добрият начин за откриване на подозрителна дейност.

Можете също така да използвате инструменти като fail2ban за автоматично извършване на превантивни мерки от ваше име.