כמנהל מערכת, חשוב לעקוב באופן קבוע אחר כניסות משתמשים במערכת לינוקס לאיתור פעילויות חשודות.

בין אם אתה מנהל לינוקס עם שרתים ומספר משתמשים תחת המעקב שלך או משתמש לינוקס רגיל, תמיד טוב להיות אקטיבי באבטחת המערכת שלך.

אחת הדרכים שבהן תוכל לאבטח את המערכת שלך באופן פעיל היא על ידי מעקב אחר כניסות משתמשים, במיוחד משתמשים המחוברים כעת וכניסות או ניסיונות התחברות כושלים.

למה לפקח על כניסות בלינוקס?

ניטור כניסות במערכת הלינוקס שלך היא פעילות חשובה מכמה סיבות:

  • הענות: רוב תקני אבטחת ה-IT, התקנות והממשלות דורשות שתפקח על יומנים כדי לעמוד בשיטות העבודה הטובות ביותר בתעשייה.
  • בִּטָחוֹן: יומני ניטור יעזרו לך לשפר את האבטחה במערכות שלך מכיוון שיש לך נראות על המשתמשים שניגשים או מנסים לגשת למערכת שלך. זה מאפשר לך לנקוט באמצעי מניעה אם אתה מבחין בפעילויות התחברות לא רצויות.
  • פתרון תקלות: גלה מדוע ייתכן שמשתמש מתקשה להיכנס למערכת שלך.
  • מסלול ביקורת: יומני התחברות הם מקור טוב למידע עבור ביקורת אבטחת IT ופעילויות קשורות.

ישנם ארבעה סוגים עיקריים של כניסות שעליכם לפקח על המערכת שלכם: כניסות מוצלחות, כניסות נכשלות, כניסות SSH וכניסות FTP. בואו נסתכל כיצד ניתן לפקח על כל אחד מאלה בלינוקס.

instagram viewer

1. שימוש בפקודה האחרונה

אחרון הוא כלי עזר רב עוצמה שורת פקודה לניטור כניסות קודמות במערכת שלך, כולל כניסות מוצלחות ונכשלות. בנוסף, הוא גם מציג כיבויים של המערכת, אתחול מחדש והתנתקות.

פשוט פתח את הטרמינל שלך והפעל את הפקודה הבאה כדי להציג את כל פרטי הכניסה:

אחרון

אתה יכול להשתמש ב-grep כדי לסנן עבור כניסות ספציפיות. למשל, כדי רשימת משתמשים מחוברים נוכחיים, אתה יכול להריץ את הפקודה:

אחרון | grep "נכנס"

אתה יכול גם להשתמש ב w פקודה להצגת משתמשים מחוברים ומה הם עושים; כדי לעשות זאת, פשוט היכנס w בטרמינל.

2. שימוש בפקודה lastlog

ה lastlog כלי השירות מציג פרטי כניסה של כל המשתמשים, כולל משתמשים רגילים, משתמשי מערכת ומשתמשי חשבון שירות.

sudo lastlog

הפלט מכיל את כל המשתמשים, מוצג בפורמט מסודר המציג את שם המשתמש שלהם, היציאה שהם משתמשים בהם, כתובת ה-IP המקורית וחותמת הזמן שבה הם התחברו.

בדוק את דפי האדם של lastlog באמצעות הפקודה גבר אחרון בלוג כדי ללמוד עוד על אפשרויות השימוש והפקודה שלו.

3. ניטור כניסות SSH בלינוקס

אחת הדרכים הנפוצות ביותר להשיג גישה מרחוק לשרתי לינוקס היא באמצעות SSH. אם המחשב או השרת שלך מחוברים לאינטרנט, עליך אבטח את חיבורי ה-SSH שלך (על ידי השבתת כניסות SSH מבוססות סיסמה, למשל).

ניטור כניסות SSH ייתן לך סקירה טובה של האם מישהו מנסה להפעיל כוח גס לתוך המערכת שלך.

כברירת מחדל, רישום SSH מושבת במערכות מסוימות. אתה יכול להפעיל אותו על ידי עריכת ה /etc/ssh/sshd_config קוֹבֶץ. השתמש בכל אחד מעורכי הטקסט המועדפים עליך ובטל את ההערות לשורה LogLevel INFO וגם לערוך אותו ל LogLevel VERBOSE. זה אמור להיראות דומה לזה לאחר השינויים:

תצטרך להפעיל מחדש את שירות SSH לאחר ביצוע השינוי הזה:

sudo systemctl הפעל מחדש את ssh

כל כניסות או פעילויות SSH יירשמו כעת אל /var/log/auth.log קוֹבֶץ. הקובץ מכיל המון מידע לניטור כניסות וניסיונות כניסה במערכת הלינוקס שלך.

אתה יכול להשתמש ב חתול פקודה או כל כלי פלט אחר כדי לקרוא את התוכן של auth.log קוֹבֶץ:

cat /var/log/auth.log

השתמש ב-grep כדי לסנן עבור כניסות SSH ספציפיות. לדוגמה, כדי לרשום ניסיונות כניסה כושלים, אתה יכול להפעיל את הפקודה הבאה:

sudo grep "נכשל" /var/log/auth.log

מלבד צפייה בניסיונות התחברות כושלים, מומלץ גם להסתכל על המשתמשים המחוברים ולזהות אם יש כאלה חשודים; למשל עובדים לשעבר.

4. ניטור כניסות FTP בלינוקס

FTP הוא פרוטוקול בשימוש נרחב להעברת קבצים בין לקוח לשרת. עליך להיות מאומת בשרת כדי שתוכל להעביר קבצים.

מכיוון שהשירות כרוך בהעברת קבצים, לכל פרצות אבטחה יכולות להיות השלכות חמורות על הפרטיות שלך. למרבה המזל, אתה יכול בקלות לעקוב אחר כניסות FTP וכל שאר הפעילויות הקשורות על ידי סינון עבור "FTP" ב- /var/log/syslog קובץ באמצעות הפקודה הבאה:

grep ftp /var/log/syslog

עקוב אחר כניסות ב-Linux לאבטחה טובה יותר

כל מנהל מערכת צריך להיות פרואקטיבי באבטחת המערכת שלו. ניטור כניסותיך מעת לעת היא הדרך הטובה ביותר לזהות פעילות חשודה.

אתה יכול גם להשתמש בכלים כגון fail2ban כדי לבצע באופן אוטומטי אמצעי מניעה בשמך.