Som systemadministrator er det viktig å regelmessig overvåke brukerpålogginger på et Linux-system for mistenkelige aktiviteter.

Enten du er en Linux-administrator med servere og flere brukere under din vakt eller en vanlig Linux-bruker, er det alltid godt å være proaktiv med å sikre systemet ditt.

En av måtene du aktivt kan sikre systemet ditt på er ved å overvåke brukerpålogginger, spesielt påloggede brukere og mislykkede pålogginger eller påloggingsforsøk.

Hvorfor overvåke pålogginger på Linux?

Overvåking av pålogginger på Linux-systemet er en viktig aktivitet av flere grunner:

  • Samsvar: De fleste IT-sikkerhetsstandarder, forskrifter og myndigheter krever at du overvåker logger for å være i samsvar med beste bransjepraksis.
  • Sikkerhet: Overvåkingslogger vil hjelpe deg med å forbedre sikkerheten på systemene dine fordi du har synlighet på brukerne som har tilgang til eller prøver å få tilgang til systemet ditt. Dette lar deg ta forebyggende tiltak dersom du oppdager uønskede påloggingsaktiviteter.
    • instagram viewer
  • Feilsøking: Finn ut hvorfor en bruker kan ha problemer med å logge på systemet ditt.
  • Revisjonsspor: Påloggingslogger er en god kilde til informasjon for IT-sikkerhetsrevisjoner og relaterte aktiviteter.

Det er fire hovedtyper av pålogginger du bør overvåke på systemet ditt: vellykkede pålogginger, mislykkede pålogginger, SSH-pålogginger og FTP-pålogginger. La oss se på hvordan du kan overvåke hver av disse på Linux.

1. Bruker den siste kommandoen

siste er et kraftig kommandolinjeverktøy for å overvåke tidligere pålogginger på systemet ditt, inkludert vellykkede og mislykkede pålogginger. I tillegg viser den også systemavslutninger, omstarter og utlogginger.

Bare åpne terminalen og kjør følgende kommando for å vise all påloggingsinformasjon:

siste

Du kan bruke grep til å filtrere etter spesifikke pålogginger. For eksempel til liste gjeldende påloggede brukere, kan du kjøre kommandoen:

siste | grep "logget på"

Du kan også bruke w kommando for å vise påloggede brukere og hva de gjør; for å gjøre det, bare skriv inn w i terminalen.

2. Bruke lastlog-kommandoen

De siste logg verktøyet viser påloggingsdetaljer for alle brukere, inkludert standardbrukere, systembrukere og tjenestekontobrukere.

sudo lastlog

Utdataene inneholder alle brukerne, vist i et pent format som viser brukernavnet deres, porten de bruker, opprinnelses-IP-adressen og tidsstemplet de logget på.

Sjekk ut lastlog man-sidene ved å bruke kommandoen mann siste logg for å lære mer om bruken og kommandoalternativene.

3. Overvåking av SSH-pålogginger på Linux

En av de vanligste måtene å få ekstern tilgang til Linux-servere på er via SSH. Hvis din PC eller server er koblet til internett, må du sikre SSH-tilkoblingene dine (ved å deaktivere passordbaserte SSH-pålogginger, for eksempel).

Overvåking av SSH-pålogginger vil gi deg en god oversikt over om noen prøver å bruke brute force inn i systemet ditt.

Som standard er SSH-logging deaktivert på noen systemer. Du kan aktivere det ved å redigere /etc/ssh/sshd_config fil. Bruk hvilken som helst av dine favoritttekstredigerere og fjern kommentarene til linjen LogLevel INFO og også redigere den til LoggNivå VERBOSE. Det skal se slik ut etter endringene:

Du må starte SSH-tjenesten på nytt etter å ha gjort denne endringen:

sudo systemctl start ssh på nytt

Alle SSH-pålogginger eller aktiviteter vil nå bli logget på /var/log/auth.log fil. Filen inneholder massevis av informasjon for å overvåke pålogginger og påloggingsforsøk på Linux-systemet.

Du kan bruke katt kommando eller et annet utdataverktøy for å lese innholdet i auth.log fil:

cat /var/log/auth.log

Bruk grep for å filtrere etter spesifikke SSH-pålogginger. For eksempel, for å liste mislykkede påloggingsforsøk, kan du kjøre følgende kommando:

sudo grep "Mislyktes" /var/log/auth.log

Bortsett fra å se mislykkede påloggingsforsøk, er det også en god idé å se på de påloggede brukerne og oppdage om det er noen mistenkelige; for eksempel tidligere ansatte.

4. Overvåking av FTP-pålogginger på Linux

FTP er en mye brukt protokoll for å overføre filer mellom en klient og en server. Du må være autentisert på serveren for å kunne overføre filer.

Siden tjenesten innebærer overføring av filer, kan eventuelle sikkerhetsbrudd ha alvorlige konsekvenser for personvernet ditt. Heldigvis kan du enkelt overvåke FTP-pålogginger og alle andre relaterte aktiviteter ved å filtrere etter "FTP" i /var/log/syslog fil ved å bruke følgende kommando:

grep ftp /var/log/syslog

Overvåk pålogginger på Linux for bedre sikkerhet

Hver systemadministrator bør være proaktiv i å sikre systemet sitt. Å overvåke påloggingene dine fra tid til annen er den beste måten å oppdage mistenkelig aktivitet på.

Du kan også bruke verktøy som fail2ban for automatisk å utføre forebyggende tiltak på dine vegne.