Jako správce systému je důležité pravidelně sledovat přihlášení uživatelů v systému Linux, zda nedochází k podezřelým aktivitám.

Ať už jste správce Linuxu se servery a více uživateli pod kontrolou, nebo běžný uživatel Linuxu, vždy je dobré být proaktivní při zabezpečení vašeho systému.

Jedním ze způsobů, jak můžete aktivně zabezpečit svůj systém, je sledování přihlášení uživatelů, zejména aktuálně přihlášených uživatelů a neúspěšných přihlášení nebo pokusů o přihlášení.

Proč sledovat přihlášení na Linuxu?

Sledování přihlášení na vašem systému Linux je důležitou činností z několika důvodů:

  • Dodržování: Většina bezpečnostních standardů IT, předpisů a vlád vyžaduje, abyste monitorovali protokoly, aby byly v souladu s nejlepšími průmyslovými postupy.
  • Bezpečnostní: Sledování protokolů vám pomůže zlepšit zabezpečení vašich systémů, protože máte přehled o uživatelích, kteří k vašemu systému přistupují nebo se o něj pokoušejí. To vám umožní přijmout preventivní opatření, pokud si všimnete nežádoucích přihlašovacích aktivit.
    • instagram viewer
  • Odstraňování problémů: Zjistěte, proč může mít uživatel potíže s přihlášením do vašeho systému.
  • Auditní stopa: Přihlašovací protokoly jsou dobrým zdrojem informací pro audity bezpečnosti IT a související činnosti.

Existují čtyři hlavní typy přihlášení, které byste měli ve svém systému sledovat: úspěšné přihlášení, neúspěšné přihlášení, přihlášení SSH a přihlášení k FTP. Podívejme se, jak můžete každý z nich sledovat v Linuxu.

1. Pomocí posledního příkazu

poslední je výkonný nástroj příkazového řádku pro sledování předchozích přihlášení do systému, včetně úspěšných a neúspěšných přihlášení. Kromě toho také zobrazuje vypnutí systému, restartování a odhlášení.

Jednoduše otevřete svůj terminál a spusťte následující příkaz pro zobrazení všech přihlašovacích údajů:

poslední

Pomocí grep můžete filtrovat konkrétní přihlášení. Například do seznam aktuálně přihlášených uživatelů, můžete spustit příkaz:

poslední | grep "přihlášen"

Můžete také použít w příkaz pro zobrazení přihlášených uživatelů a toho, co dělají; Chcete-li to provést, jednoduše zadejte w v terminálu.

2. Pomocí příkazu lastlog

The lastlog zobrazuje přihlašovací údaje všech uživatelů, včetně standardních uživatelů, systémových uživatelů a uživatelů servisních účtů.

sudo lastlog

Výstup obsahuje všechny uživatele zobrazené v úhledném formátu, který ukazuje jejich uživatelské jméno, port, který používají, původní IP adresu a časové razítko, na kterém se přihlásili.

Prohlédněte si manuálové stránky lastlog pomocí příkazu muž lastlog se dozvíte více o jeho použití a možnostech příkazů.

3. Monitorování SSH přihlášení na Linuxu

Jedním z nejběžnějších způsobů, jak získat vzdálený přístup k serverům Linux, je přes SSH. Pokud je váš počítač nebo server připojen k internetu, musíte zabezpečte svá připojení SSH (například zakázáním přihlašování SSH pomocí hesla).

Sledování SSH přihlášení vám poskytne dobrý přehled o tom, zda se někdo nesnaží do vašeho systému zasahovat hrubou silou.

Ve výchozím nastavení je protokolování SSH na některých systémech zakázáno. Můžete to povolit úpravou souboru /etc/ssh/sshd_config soubor. Použijte některý z vašich oblíbených textových editorů a odkomentujte řádek LogLevel INFO a také jej upravit na LogLevel VERBOSE. Po změnách by to mělo vypadat podobně jako následující:

Po provedení této změny budete muset restartovat službu SSH:

sudo systemctl restart ssh

Všechna přihlášení nebo aktivity SSH budou nyní protokolovány do /var/log/auth.log soubor. Soubor obsahuje spoustu informací pro sledování přihlášení a pokusů o přihlášení na vašem systému Linux.

Můžete použít kočka příkaz nebo jakýkoli jiný výstupní nástroj pro čtení obsahu souboru auth.log soubor:

cat /var/log/auth.log

Použijte grep k filtrování konkrétních SSH přihlášení. Chcete-li například zobrazit seznam neúspěšných pokusů o přihlášení, můžete spustit následující příkaz:

sudo grep "Selhal" /var/log/auth.log

Kromě prohlížení neúspěšných pokusů o přihlášení je také dobré podívat se na přihlášené uživatele a zjistit, zda nejsou podezřelí; například bývalí zaměstnanci.

4. Monitorování FTP přihlášení v Linuxu

FTP je široce používaný protokol pro přenos souborů mezi klientem a serverem. Abyste mohli přenášet soubory, musíte být ověřeni na serveru.

Vzhledem k tomu, že služba zahrnuje přenos souborů, jakékoli narušení bezpečnosti může mít vážné důsledky pro vaše soukromí. Naštěstí můžete snadno sledovat přihlášení k FTP a všechny další související aktivity pomocí filtrování "FTP" v /var/log/syslog soubor pomocí následujícího příkazu:

grep ftp /var/log/syslog

Monitorujte přihlášení v systému Linux pro lepší zabezpečení

Každý správce systému by měl být proaktivní při zabezpečení svého systému. Čas od času sledování vašich přihlášení je nejlepší způsob, jak odhalit podezřelou aktivitu.

Můžete také využít nástroje jako fail2ban k automatickému provádění preventivních opatření vaším jménem.