Som systemadministratör är det viktigt att regelbundet övervaka användarinloggningar på ett Linux-system för misstänkta aktiviteter.
Oavsett om du är en Linux-administratör med servrar och flera användare under din övervakning eller en vanlig Linux-användare, är det alltid bra att vara proaktiv med att säkra ditt system.
Ett av sätten du aktivt kan säkra ditt system är genom att övervaka användarinloggningar, särskilt för närvarande inloggade användare och misslyckade inloggningar eller inloggningsförsök.
Varför övervaka inloggningar på Linux?
Att övervaka inloggningar på ditt Linux-system är en viktig aktivitet av flera anledningar:
- Efterlevnad: De flesta IT-säkerhetsstandarder, föreskrifter och myndigheter kräver att du övervakar loggar för att följa branschpraxis.
- Säkerhet: Övervakningsloggar hjälper dig att förbättra säkerheten på dina system eftersom du har synlighet på de användare som kommer åt eller försöker komma åt ditt system. Detta gör att du kan vidta förebyggande åtgärder om du upptäcker oönskade inloggningsaktiviteter.
- Felsökning: Ta reda på varför en användare kan ha problem med att logga in på ditt system.
- Revisionsspår: Inloggningsloggar är en bra informationskälla för IT-säkerhetsrevisioner och relaterade aktiviteter.
Det finns fyra huvudtyper av inloggningar som du bör övervaka på ditt system: framgångsrika inloggningar, misslyckade inloggningar, SSH-inloggningar och FTP-inloggningar. Låt oss titta på hur du kan övervaka var och en av dessa på Linux.
1. Använder det sista kommandot
sista är ett kraftfullt kommandoradsverktyg för att övervaka tidigare inloggningar på ditt system, inklusive lyckade och misslyckade inloggningar. Dessutom visar den också systemavstängningar, omstarter och utloggningar.
Öppna helt enkelt din terminal och kör följande kommando för att visa all inloggningsinformation:
sista
Du kan använda grep för att filtrera efter specifika inloggningar. Till exempel att lista aktuella inloggade användare, kan du köra kommandot:
sista | grep "inloggad"
Du kan också använda w kommando för att visa inloggade användare och vad de gör; för att göra det, skriv bara in w i terminalen.
2. Använd kommandot lastlog
De sista loggen Verktyget visar inloggningsuppgifter för alla användare, inklusive standardanvändare, systemanvändare och tjänstkontoanvändare.
sudo lastlog
Utdatat innehåller alla användare, visas i ett snyggt format som visar deras användarnamn, porten de använder, ursprungs-IP-adressen och tidsstämpeln de loggade in på.
Kolla in lastlogman-sidorna med kommandot man lastlog för att lära dig mer om dess användning och kommandoalternativ.
3. Övervakning av SSH-inloggningar på Linux
Ett av de vanligaste sätten att få fjärråtkomst till Linux-servrar är via SSH. Om din dator eller server är ansluten till internet måste du säkra dina SSH-anslutningar (genom att till exempel inaktivera lösenordsbaserade SSH-inloggningar).
Övervakning av SSH-inloggningar ger dig en bra överblick över om någon försöker sätta in brute force i ditt system.
Som standard är SSH-loggning inaktiverad på vissa system. Du kan aktivera det genom att redigera /etc/ssh/sshd_config fil. Använd någon av dina favorittextredigerare och avkommentera raden LogLevel INFO och även redigera den till LogLevel VERBOSE. Det bör se ut som följande efter ändringarna:
Du måste starta om SSH-tjänsten efter att ha gjort denna ändring:
sudo systemctl starta om ssh
Alla SSH-inloggningar eller aktiviteter kommer nu att loggas till /var/log/auth.log fil. Filen innehåller massor av information för att övervaka inloggningar och inloggningsförsök på ditt Linux-system.
Du kan använda katt kommando eller något annat utdataverktyg för att läsa innehållet i auth.log fil:
cat /var/log/auth.log
Använd grep för att filtrera efter specifika SSH-inloggningar. Till exempel, för att lista misslyckade inloggningsförsök, kan du köra följande kommando:
sudo grep "Failed" /var/log/auth.log
Förutom att se misslyckade inloggningsförsök är det också en bra idé att titta på de inloggade användarna och upptäcka om det finns några misstänkta; till exempel tidigare anställda.
4. Övervakning av FTP-inloggningar på Linux
FTP är ett allmänt använt protokoll för att överföra filer mellan en klient och en server. Du måste vara autentiserad på servern för att kunna överföra filer.
Eftersom tjänsten innebär överföring av filer kan eventuella säkerhetsöverträdelser få allvarliga konsekvenser för din integritet. Som tur är kan du enkelt övervaka FTP-inloggningar och alla andra relaterade aktiviteter genom att filtrera efter "FTP" i /var/log/syslog fil med följande kommando:
grep ftp /var/log/syslog
Övervaka inloggningar på Linux för bättre säkerhet
Varje systemadministratör bör vara proaktiv i att säkra sitt system. Att övervaka dina inloggningar då och då är det bästa sättet att upptäcka misstänkt aktivitet.
Du kan också använda verktyg som fail2ban för att automatiskt utföra förebyggande åtgärder för din räkning.