Kā sistēmas administratoram ir svarīgi regulāri pārraudzīt lietotāju pieteikšanos Linux sistēmā, lai atklātu aizdomīgas darbības.

Neatkarīgi no tā, vai esat Linux administrators, kuram ir serveri un vairāki lietotāji, vai arī parasts Linux lietotājs, vienmēr ir labi būt aktīviem savas sistēmas nodrošināšanā.

Viens no veidiem, kā jūs varat aktīvi aizsargāt savu sistēmu, ir lietotāju pieteikšanās uzraudzība, jo īpaši pašlaik pieteikušies lietotāji un neveiksmīgi pieteikšanās vai pieteikšanās mēģinājumi.

Kāpēc pārraudzīt pieteikšanos operētājsistēmā Linux?

Pieteikšanās jūsu Linux sistēmā ir svarīga darbība vairāku iemeslu dēļ:

  • Atbilstība: Lielākā daļa IT drošības standartu, noteikumu un valdību nosaka, ka jums jāpārrauga žurnāli, lai tie atbilstu nozares labākajai praksei.
  • Drošība: Uzraudzības žurnāli palīdzēs uzlabot jūsu sistēmu drošību, jo jums ir redzami lietotāji, kuri piekļūst jūsu sistēmai vai mēģina tai piekļūt. Tas ļauj veikt profilaktiskus pasākumus, ja pamanāt nevēlamas pieteikšanās darbības.
    • instagram viewer
  • Problēmu novēršana: Uzziniet, kāpēc lietotājam var rasties problēmas ar pieteikšanos jūsu sistēmā.
  • Audita pēdas: Pieteikšanās žurnāli ir labs informācijas avots IT drošības auditiem un saistītajām darbībām.

Ir četri galvenie pieteikšanās veidi, kas jums jāpārrauga savā sistēmā: veiksmīgi pieteikšanās, neveiksmīga pieteikšanās, SSH pieteikšanās un FTP pieteikšanās. Apskatīsim, kā jūs varat pārraudzīt katru no tiem operētājsistēmā Linux.

1. Izmantojot pēdējo komandu

Pēdējais ir jaudīga komandrindas utilīta, lai uzraudzītu iepriekšējās pieteikšanās jūsu sistēmā, tostarp veiksmīgas un neveiksmīgas pieteikšanās. Turklāt tas parāda arī sistēmas izslēgšanu, atsāknēšanu un atteikšanos.

Vienkārši atveriet savu termināli un palaidiet šo komandu, lai parādītu visu pieteikšanās informāciju:

Pēdējais

Varat izmantot grep, lai filtrētu noteiktus pieteikšanās datus. Piemēram, uz uzskaitīt pašreizējos pieteikušos lietotājus, varat palaist komandu:

pēdējais | grep "pieteicies"

Varat arī izmantot w komanda, lai parādītu pieteikušos lietotājus un to, ko viņi dara; lai to izdarītu, vienkārši ievadiet w terminālī.

2. Izmantojot komandu lastlog

The pēdējais žurnāls utilīta parāda visu lietotāju pieteikšanās informāciju, tostarp standarta lietotājus, sistēmas lietotājus un pakalpojumu kontu lietotājus.

sudo lastlog

Izvade satur visus lietotājus, kas tiek parādīti glītā formātā, kas parāda viņu lietotājvārdu, portu, ko viņi izmanto, izcelsmes IP adresi un laika zīmogu, kurā viņi pieteicās.

Pārbaudiet lastlog man lapas, izmantojot komandu man lastlog lai uzzinātu vairāk par tā lietojumu un komandu iespējām.

3. SSH pieteikšanās uzraudzība operētājsistēmā Linux

Viens no visizplatītākajiem veidiem, kā iegūt attālo piekļuvi Linux serveriem, ir SSH. Ja jūsu dators vai serveris ir savienots ar internetu, jums tas ir jādara aizsargāt savus SSH savienojumus (piemēram, atspējojot uz paroli balstītus SSH pieteikšanos).

SSH pieteikšanās uzraudzība sniegs jums labu pārskatu par to, vai kāds nemēģina jūsu sistēmā iedarboties ar rupju spēku.

Pēc noklusējuma SSH reģistrēšana dažās sistēmās ir atspējota. Varat to iespējot, rediģējot /etc/ssh/sshd_config failu. Izmantojiet jebkuru no saviem iecienītākajiem teksta redaktoriem un noņemiet rindiņas komentārus LogLevel INFO un arī rediģēt to uz LogLevel VERBOSE. Pēc izmaiņām tai vajadzētu izskatīties līdzīgi:

Pēc šo izmaiņu veikšanas jums būs jārestartē SSH pakalpojums:

sudo systemctl restartējiet ssh

Visi SSH pieteikumi vai darbības tagad tiks reģistrēti vietnē /var/log/auth.log failu. Failā ir daudz informācijas, lai pārraudzītu pieteikšanos un pieteikšanās mēģinājumus jūsu Linux sistēmā.

Jūs varat izmantot kaķis komandu vai jebkuru citu izvades rīku, lai lasītu saturu auth.log fails:

cat /var/log/auth.log

Izmantojiet grep, lai filtrētu konkrētus SSH pieteikšanās datus. Piemēram, lai uzskaitītu neveiksmīgos pieteikšanās mēģinājumus, varat palaist šādu komandu:

sudo grep "Neizdevās" /var/log/auth.log

Papildus neveiksmīgu pieteikšanās mēģinājumu skatīšanai ir ieteicams apskatīt arī pieteikušos lietotājus un noteikt, vai tie nav aizdomīgi; piemēram, bijušie darbinieki.

4. FTP pieteikšanās uzraudzība operētājsistēmā Linux

FTP ir plaši izmantots protokols failu pārsūtīšanai starp klientu un serveri. Lai varētu pārsūtīt failus, jums ir jābūt autentificētam serverī.

Tā kā pakalpojums ietver failu pārsūtīšanu, jebkuri drošības pārkāpumi var nopietni ietekmēt jūsu privātumu. Par laimi, jūs varat viegli pārraudzīt FTP pieteikšanos un visas citas saistītās darbības, filtrējot FTP /var/log/syslog failu, izmantojot šādu komandu:

grep ftp /var/log/syslog

Pārraugiet pieteikšanos operētājsistēmā Linux, lai nodrošinātu labāku drošību

Katram sistēmas administratoram ir jābūt aktīvam savas sistēmas nodrošināšanā. Laiku pa laikam pārraudzīt savus pieteikšanās datus ir labākais veids, kā noteikt aizdomīgas darbības.

Varat arī izmantot tādus rīkus kā fail2ban, lai automātiski veiktu profilakses pasākumus jūsu vārdā.