Kao administratoru sustava, važno je redovito nadzirati prijavu korisnika na Linux sustav u potrazi za sumnjivim aktivnostima.

Bez obzira jeste li Linux administrator s poslužiteljima i višestrukim korisnicima pod nadzorom ili obični korisnik Linuxa, uvijek je dobro biti proaktivan u osiguravanju svog sustava.

Jedan od načina na koji možete aktivno zaštititi svoj sustav je praćenje korisničkih prijava, posebno trenutno prijavljenih korisnika i neuspjelih prijava ili pokušaja prijave.

Zašto pratiti prijave na Linuxu?

Praćenje prijava na vašem Linux sustavu važna je aktivnost iz nekoliko razloga:

  • Usklađenost: Većina IT sigurnosnih standarda, propisa i vlada zahtijevaju da nadgledate zapise kako bi bili u skladu s najboljom industrijskom praksom.
  • Sigurnost: Dnevnici praćenja pomoći će vam da poboljšate sigurnost na svojim sustavima jer imate pregled nad korisnicima koji pristupaju ili pokušavaju pristupiti vašem sustavu. To vam omogućuje poduzimanje preventivnih mjera ako primijetite neželjene aktivnosti prijave.
    • instagram viewer
  • Rješavanje problema: Saznajte zašto korisnik može imati problema s prijavom na vaš sustav.
  • Kontrolni trag: Dnevnici prijave dobar su izvor informacija za revizije IT sigurnosti i srodne aktivnosti.

Postoje četiri glavne vrste prijava koje biste trebali pratiti na svom sustavu: uspješne prijave, neuspješne prijave, SSH prijave i FTP prijave. Pogledajmo kako možete nadzirati svaki od njih na Linuxu.

1. Korištenje posljednje naredbe

posljednji je moćan uslužni program naredbenog retka za praćenje prethodnih prijava na vaš sustav, uključujući uspješne i neuspješne prijave. Osim toga, također prikazuje gašenja sustava, ponovno pokretanje i odjavu.

Jednostavno otvorite svoj terminal i pokrenite sljedeću naredbu za prikaz svih podataka za prijavu:

posljednji

Možete koristiti grep za filtriranje određenih prijava. Na primjer, do popis trenutačno prijavljenih korisnika, možete pokrenuti naredbu:

posljednji | grep "prijavljen"

Također možete koristiti w naredba za prikaz prijavljenih korisnika i što oni rade; da biste to učinili, jednostavno unesite w u terminalu.

2. Korištenje naredbe lastlog

The lastlog uslužni program prikazuje podatke za prijavu svih korisnika, uključujući standardne korisnike, korisnike sustava i korisnike računa usluge.

sudo lastlog

Izlaz sadrži sve korisnike, prikazane u urednom formatu koji prikazuje njihovo korisničko ime, priključak koji koriste, izvornu IP adresu i vremensku oznaku na koju su se prijavili.

Provjerite lastlog man stranice pomoću naredbe čovjek lastlog kako biste saznali više o njegovoj uporabi i opcijama naredbi.

3. Praćenje SSH prijava na Linuxu

Jedan od najčešćih načina dobivanja udaljenog pristupa Linux poslužiteljima je putem SSH-a. Ako je vaše računalo ili poslužitelj spojen na internet, morate osigurajte svoje SSH veze (na primjer, onemogućavanjem SSH prijava na temelju lozinke).

Praćenje SSH prijava dat će vam dobar pregled o tome pokušava li netko brutalno ući u vaš sustav.

Prema zadanim postavkama, SSH bilježenje je onemogućeno na nekim sustavima. Možete ga omogućiti uređivanjem /etc/ssh/sshd_config datoteka. Upotrijebite bilo koji od svojih omiljenih uređivača teksta i odkomentirajte redak LogLevel INFO i također ga urediti LogLevel VERBOSE. Nakon promjena trebao bi izgledati ovako:

Morat ćete ponovo pokrenuti SSH uslugu nakon što napravite ovu promjenu:

sudo systemctl ponovno pokrenite ssh

Sve prijave ili aktivnosti na SSH sada će se bilježiti na /var/log/auth.log datoteka. Datoteka sadrži gomilu informacija za praćenje prijava i pokušaja prijave na vašem Linux sustavu.

Možete koristiti mačka naredba ili bilo koji drugi izlazni alat za čitanje sadržaja auth.log datoteka:

mačka /var/log/auth.log

Koristite grep za filtriranje za određene SSH prijave. Na primjer, za popis neuspjelih pokušaja prijave, možete pokrenuti sljedeću naredbu:

sudo grep "Neuspješno" /var/log/auth.log

Osim pregleda neuspjelih pokušaja prijave, također je dobra ideja pogledati prijavljene korisnike i otkriti ima li sumnjivih; primjerice, bivši zaposlenici.

4. Praćenje FTP prijava na Linuxu

FTP je široko korišten protokol za prijenos datoteka između klijenta i poslužitelja. Morate biti autentificirani na poslužitelju da biste mogli prenositi datoteke.

Budući da usluga uključuje prijenos datoteka, svako kršenje sigurnosti može imati ozbiljne implikacije na vašu privatnost. Srećom, možete lako pratiti prijave na FTP i sve druge povezane aktivnosti filtriranjem za "FTP" u /var/log/syslog datoteku pomoću sljedeće naredbe:

grep ftp /var/log/syslog

Pratite prijave na Linux radi bolje sigurnosti

Svaki administrator sustava trebao bi biti proaktivan u osiguravanju svog sustava. Praćenje vaših prijava s vremena na vrijeme najbolji je način otkrivanja sumnjive aktivnosti.

Također možete koristiti alate kao što je fail2ban za automatsko provođenje preventivnih mjera u vaše ime.