În calitate de administrator de sistem, este important să monitorizați în mod regulat conectările utilizatorilor pe un sistem Linux pentru activități suspecte.

Fie că ești un administrator Linux cu servere și mai mulți utilizatori sub supravegherea ta sau un utilizator obișnuit de Linux, este întotdeauna bine să fii proactiv în securizarea sistemului.

Unul dintre modalitățile prin care vă puteți securiza în mod activ sistemul este prin monitorizarea autentificărilor utilizatorilor, în special utilizatorilor conectați în prezent și autentificările eșuate sau încercările de conectare.

De ce să monitorizați conectările pe Linux?

Monitorizarea conectărilor pe sistemul dumneavoastră Linux este o activitate importantă din mai multe motive:

  • Conformitate: Cele mai multe standarde de securitate IT, reglementări și guverne solicită să monitorizați jurnalele pentru a fi în conformitate cu cele mai bune practici din industrie.
  • Securitate: Jurnalele de monitorizare vă vor ajuta să îmbunătățiți securitatea sistemelor dvs., deoarece aveți vizibilitate asupra utilizatorilor care accesează sau încearcă să acceseze sistemul dvs. Acest lucru vă permite să luați măsuri preventive dacă observați activități de conectare nedorite.
    instagram viewer
  • Depanare: Aflați de ce un utilizator poate întâmpina probleme la conectarea la sistemul dvs.
  • Pista de audit: Jurnalele de conectare sunt o sursă bună de informații pentru auditurile de securitate IT și activitățile conexe.

Există patru tipuri principale de autentificare pe care ar trebui să le monitorizați pe sistemul dvs.: autentificări reușite, autentificări eșuate, autentificări SSH și autentificări FTP. Să vedem cum puteți monitoriza fiecare dintre acestea pe Linux.

1. Folosind ultima comandă

ultimul este un utilitar puternic de linie de comandă pentru monitorizarea conectărilor anterioare pe sistemul dvs., inclusiv autentificări reușite și eșuate. În plus, afișează și opririle sistemului, repornirile și deconectarea.

Pur și simplu deschideți terminalul și rulați următoarea comandă pentru a afișa toate informațiile de conectare:

ultimul

Puteți utiliza grep pentru a filtra anumite autentificări. De exemplu, să enumerați utilizatorii actuali conectați, puteți rula comanda:

ultima | grep "conectat"

De asemenea, puteți utiliza w comandă pentru a afișa utilizatorii conectați și ceea ce fac aceștia; pentru a face acest lucru, pur și simplu intrați w în terminal.

2. Folosind comanda lastlog

The ultimul butuc utilitarul afișează detaliile de conectare ale tuturor utilizatorilor, inclusiv utilizatorii standard, utilizatorii sistemului și utilizatorii contului de serviciu.

sudo lastlog

Ieșirea conține toți utilizatorii, afișați într-un format ordonat care arată numele lor de utilizator, portul pe care îl folosesc, adresa IP de origine și marca temporală la care s-au conectat.

Consultați paginile de manual lastlog folosind comanda om lastlog pentru a afla mai multe despre utilizarea și opțiunile de comandă.

3. Monitorizarea autentificărilor SSH pe Linux

Una dintre cele mai comune modalități de a obține acces de la distanță la serverele Linux este prin SSH. Dacă computerul sau serverul dvs. este conectat la internet, trebuie asigurați-vă conexiunile SSH (prin dezactivarea autentificărilor SSH bazate pe parolă, de exemplu).

Monitorizarea autentificărilor SSH vă va oferi o imagine de ansamblu bună despre dacă cineva încearcă să introducă forța brută în sistemul dvs.

În mod implicit, înregistrarea SSH este dezactivată pe unele sisteme. Îl puteți activa prin editarea /etc/ssh/sshd_config fişier. Utilizați oricare dintre editorii dvs. de text preferati și anulați comentariul LogLevel INFO și, de asemenea, editați-l la LogLevel VERBOSE. După modificări, ar trebui să arate similar cu următorul:

Va trebui să reporniți serviciul SSH după efectuarea acestei modificări:

sudo systemctl reporniți ssh

Toate conectările sau activitățile SSH vor fi acum înregistrate în /var/log/auth.log fişier. Fișierul conține o mulțime de informații pentru monitorizarea conectărilor și încercărilor de conectare pe sistemul dvs. Linux.

Puteți folosi pisică comanda sau orice alt instrument de ieșire pentru a citi conținutul fișierului auth.log fişier:

cat /var/log/auth.log

Utilizați grep pentru a filtra anumite autentificări SSH. De exemplu, pentru a enumera încercările eșuate de conectare, puteți rula următoarea comandă:

sudo grep "Eșuat" /var/log/auth.log

Pe lângă vizualizarea încercărilor eșuate de autentificare, este, de asemenea, o idee bună să vă uitați la utilizatorii conectați și să detectați dacă există suspecti; de exemplu, foștii angajați.

4. Monitorizarea autentificărilor FTP pe Linux

FTP este un protocol utilizat pe scară largă pentru transferul de fișiere între un client și un server. Trebuie să fii autentificat pe server pentru a putea transfera fișiere.

Deoarece serviciul implică transferul de fișiere, orice încălcare a securității poate avea implicații grave pentru confidențialitatea dumneavoastră. Din fericire, puteți monitoriza cu ușurință conectările FTP și toate celelalte activități conexe, prin filtrarea „FTP” în /var/log/syslog fișier folosind următoarea comandă:

grep ftp /var/log/syslog

Monitorizați conectările pe Linux pentru o mai bună securitate

Fiecare administrator de sistem ar trebui să fie proactiv în securizarea sistemului. Monitorizarea autentificărilor din când în când este cea mai bună modalitate de a detecta activități suspecte.

De asemenea, puteți utiliza instrumente precum fail2ban pentru a efectua automat măsuri preventive în numele dvs.