Järjestelmänvalvojana on tärkeää seurata säännöllisesti käyttäjien kirjautumisia Linux-järjestelmään epäilyttävien toimintojen varalta.

Olitpa Linux-järjestelmänvalvoja, jolla on palvelimia ja useita käyttäjiä kellosi alla, tai tavallinen Linux-käyttäjä, on aina hyvä suojata järjestelmäsi ennakoivasti.

Yksi tavoista suojata järjestelmäsi aktiivisesti on valvoa käyttäjien kirjautumisia, erityisesti tällä hetkellä kirjautuneita käyttäjiä ja epäonnistuneita kirjautumisia tai kirjautumisyrityksiä.

Miksi seurata kirjautumisia Linuxissa?

Kirjautumisten seuranta Linux-järjestelmässäsi on tärkeä toiminta useista syistä:

  • Vaatimustenmukaisuus: Useimmat IT-tietoturvastandardit, -määräykset ja -viranomaiset edellyttävät, että seuraat lokeja, jotta ne ovat alan parhaiden käytäntöjen mukaisia.
  • Turvallisuus: Valvontalokien avulla voit parantaa järjestelmien turvallisuutta, koska näet käyttäjät, jotka käyttävät tai yrittävät päästä järjestelmääsi. Näin voit ryhtyä ennaltaehkäiseviin toimiin, jos huomaat ei-toivottuja kirjautumistoimia.
    • instagram viewer
  • Ongelmien karttoittaminen: Selvitä, miksi käyttäjällä voi olla vaikeuksia kirjautua sisään järjestelmääsi.
  • Tarkastusketju: Kirjautumislokit ovat hyvä tietolähde IT-tietoturvatarkastuksiin ja niihin liittyviin toimiin.

Sinun tulee valvoa järjestelmässäsi neljää päätyyppiä kirjautumisia: onnistuneet kirjautumiset, epäonnistuneet kirjautumiset, SSH-kirjautumiset ja FTP-kirjautumiset. Katsotaanpa, kuinka voit valvoa näitä kaikkia Linuxissa.

1. Viimeisen komennon käyttäminen

kestää on tehokas komentorivityökalu, jolla voit seurata järjestelmän aikaisempia kirjautumisia, mukaan lukien onnistuneet ja epäonnistuneet kirjautumiset. Lisäksi se näyttää myös järjestelmän sammutukset, uudelleenkäynnistykset ja uloskirjautumiset.

Avaa vain pääte ja suorita seuraava komento näyttääksesi kaikki kirjautumistiedot:

kestää

Voit käyttää grepiä tiettyjen kirjautumisten suodattamiseen. Esimerkiksi siihen luettele nykyiset sisäänkirjautuneet käyttäjät, voit suorittaa komennon:

viimeinen | grep "kirjautunut sisään"

Voit myös käyttää w komento näyttää kirjautuneet käyttäjät ja mitä he tekevät; tehdäksesi niin, yksinkertaisesti syötä w terminaalissa.

2. Lastlog-komentoa käyttämällä

The lastlog apuohjelma näyttää kaikkien käyttäjien kirjautumistiedot, mukaan lukien tavalliset käyttäjät, järjestelmän käyttäjät ja palvelutilin käyttäjät.

sudo lastlog

Tulos sisältää kaikki käyttäjät, jotka näytetään siistissä muodossa, joka näyttää heidän käyttäjätunnuksensa, heidän käyttämänsä portin, alkuperäisen IP-osoitteen ja aikaleiman, jolla he kirjautuivat sisään.

Tarkista lastlogin man-sivut komennolla mies lastlog saadaksesi lisätietoja sen käytöstä ja komentovaihtoehdoista.

3. SSH-kirjautumisten valvonta Linuxissa

Yksi yleisimmistä tavoista päästä etäkäyttöön Linux-palvelimiin on SSH: n kautta. Jos tietokoneesi tai palvelimesi on yhteydessä Internetiin, sinun on suojaa SSH-yhteytesi (esimerkiksi poistamalla salasanapohjaiset SSH-kirjautumiset käytöstä).

SSH-kirjautumisten seuranta antaa hyvän yleiskuvan siitä, yrittääkö kukaan tunkeutua järjestelmääsi.

Oletusarvoisesti SSH-loki on poistettu käytöstä joissakin järjestelmissä. Voit ottaa sen käyttöön muokkaamalla /etc/ssh/sshd_config tiedosto. Käytä mitä tahansa suosikkitekstieditoriasi ja poista rivin kommentit LogLevel INFO ja myös muokata sitä LogLevel VERBOSE. Sen pitäisi näyttää seuraavanlaiselta muutosten jälkeen:

Sinun on käynnistettävä SSH-palvelu uudelleen tämän muutoksen tekemisen jälkeen:

sudo systemctl käynnistä ssh uudelleen

Kaikki SSH-kirjautumiset tai -toiminnot kirjataan nyt lokiin /var/log/auth.log tiedosto. Tiedosto sisältää paljon tietoa kirjautumisten ja kirjautumisyritysten seurantaa varten Linux-järjestelmässäsi.

Voit käyttää kissa -komento tai jokin muu tulostustyökalu sisällön lukemiseen auth.log tiedosto:

cat /var/log/auth.log

Käytä grep suodattaaksesi tietyt SSH-kirjautumiset. Voit esimerkiksi luetteloida epäonnistuneet kirjautumisyritykset suorittamalla seuraavan komennon:

sudo grep "Epäonnistui" /var/log/auth.log

Epäonnistuneiden kirjautumisyritysten katselemisen lisäksi on myös hyvä idea tarkastella kirjautuneita käyttäjiä ja havaita, onko niissä epäilyttäviä; esimerkiksi entiset työntekijät.

4. FTP-kirjautumisten valvonta Linuxissa

FTP on laajalti käytetty protokolla tiedostojen siirtämiseen asiakkaan ja palvelimen välillä. Sinun on oltava todennettu palvelimella, jotta voit siirtää tiedostoja.

Koska palvelu sisältää tiedostojen siirtämisen, kaikilla tietoturvaloukkauksilla voi olla vakavia seurauksia yksityisyytesi kannalta. Onneksi voit helposti seurata FTP-kirjautumisia ja kaikkia muita niihin liittyviä toimintoja suodattamalla "FTP" /var/log/syslog tiedosto seuraavalla komennolla:

grep ftp /var/log/syslog

Tarkkaile kirjautumisia Linuxissa parantaaksesi turvallisuutta

Jokaisen järjestelmänvalvojan tulee olla ennakoiva järjestelmänsä turvaamisessa. Kirjautumisesi ajoittainen seuranta on paras tapa havaita epäilyttävä toiminta.

Voit myös käyttää työkaluja, kuten fail2bania, suorittaaksesi ennaltaehkäiseviä toimenpiteitä automaattisesti puolestasi.