Ως διαχειριστής συστήματος, είναι σημαντικό να παρακολουθείτε τακτικά τις συνδέσεις χρηστών σε ένα σύστημα Linux για ύποπτες δραστηριότητες.
Είτε είστε διαχειριστής Linux με διακομιστές και πολλούς χρήστες κάτω από το ρολόι σας είτε κανονικός χρήστης Linux, είναι πάντα καλό να είστε προληπτικοί για την ασφάλεια του συστήματός σας.
Ένας από τους τρόπους με τους οποίους μπορείτε να προστατεύσετε ενεργά το σύστημά σας είναι παρακολουθώντας τις συνδέσεις χρηστών, ειδικά τους συνδεδεμένους χρήστες και τις αποτυχημένες συνδέσεις ή τις προσπάθειες σύνδεσης.
Γιατί να παρακολουθώ τις συνδέσεις στο Linux;
Η παρακολούθηση των συνδέσεων στο σύστημα Linux είναι μια σημαντική δραστηριότητα για διάφορους λόγους:
- Συμμόρφωση: Τα περισσότερα πρότυπα, κανονισμοί και κυβερνήσεις ασφάλειας πληροφορικής απαιτούν να παρακολουθείτε τα αρχεία καταγραφής ώστε να συμμορφώνονται με τις βέλτιστες πρακτικές του κλάδου.
- Ασφάλεια: Τα αρχεία καταγραφής παρακολούθησης θα σας βοηθήσουν να βελτιώσετε την ασφάλεια των συστημάτων σας, επειδή έχετε ορατότητα στους χρήστες που έχουν πρόσβαση ή προσπαθούν να αποκτήσουν πρόσβαση στο σύστημά σας. Αυτό σας επιτρέπει να λαμβάνετε προληπτικά μέτρα εάν παρατηρήσετε ανεπιθύμητες δραστηριότητες σύνδεσης.
- Αντιμετώπιση προβλημάτων: Μάθετε γιατί ένας χρήστης μπορεί να αντιμετωπίζει πρόβλημα με τη σύνδεση στο σύστημά σας.
- Διαδρομή ελέγχου: Τα αρχεία καταγραφής σύνδεσης είναι μια καλή πηγή πληροφοριών για ελέγχους ασφάλειας πληροφορικής και σχετικές δραστηριότητες.
Υπάρχουν τέσσερις κύριοι τύποι συνδέσεων που πρέπει να παρακολουθείτε στο σύστημά σας: επιτυχημένες συνδέσεις, αποτυχημένες συνδέσεις, συνδέσεις SSH και συνδέσεις FTP. Ας δούμε πώς μπορείτε να παρακολουθείτε καθένα από αυτά στο Linux.
1. Χρησιμοποιώντας την τελευταία εντολή
τελευταίος είναι ένα ισχυρό βοηθητικό πρόγραμμα γραμμής εντολών για την παρακολούθηση προηγούμενων συνδέσεων στο σύστημά σας, συμπεριλαμβανομένων επιτυχημένων και αποτυχημένων συνδέσεων. Επιπλέον, εμφανίζει επίσης τερματισμούς λειτουργίας συστήματος, επανεκκινήσεις και αποσυνδέσεις.
Απλώς ανοίξτε το τερματικό σας και εκτελέστε την ακόλουθη εντολή για να εμφανίσετε όλες τις πληροφορίες σύνδεσης:
τελευταίοςΜπορείτε να χρησιμοποιήσετε το grep για να φιλτράρετε συγκεκριμένες συνδέσεις. Για παράδειγμα, να λίστα των τρεχόντων συνδεδεμένων χρηστών, μπορείτε να εκτελέσετε την εντολή:
τελευταία | grep "συνδεδεμένος"Μπορείτε επίσης να χρησιμοποιήσετε το w εντολή για εμφάνιση συνδεδεμένων χρηστών και τι κάνουν. για να το κάνετε, απλά εισάγετε w στο τερματικό.
2. Χρησιμοποιώντας την εντολή lastlog
ο lastlog Το βοηθητικό πρόγραμμα εμφανίζει τα στοιχεία σύνδεσης όλων των χρηστών, συμπεριλαμβανομένων των τυπικών χρηστών, των χρηστών συστήματος και των χρηστών λογαριασμού υπηρεσίας.
sudo lastlogΗ έξοδος περιέχει όλους τους χρήστες, που εμφανίζονται σε μια καθαρή μορφή που δείχνει το όνομα χρήστη τους, τη θύρα που χρησιμοποιούν, τη διεύθυνση IP προέλευσης και τη χρονική σήμανση στην οποία συνδέθηκαν.
Ελέγξτε τις σελίδες man lastlog χρησιμοποιώντας την εντολή άντρας τελευταίος λογότυπος για να μάθετε περισσότερα σχετικά με τη χρήση του και τις επιλογές εντολών.
3. Παρακολούθηση συνδέσεων SSH σε Linux
Ένας από τους πιο συνηθισμένους τρόπους για να αποκτήσετε απομακρυσμένη πρόσβαση σε διακομιστές Linux είναι μέσω SSH. Εάν ο υπολογιστής ή ο διακομιστής σας είναι συνδεδεμένος στο διαδίκτυο, πρέπει ασφαλίστε τις συνδέσεις SSH σας (για παράδειγμα, απενεργοποιώντας τις συνδέσεις SSH που βασίζονται σε κωδικό πρόσβασης).
Η παρακολούθηση των συνδέσεων SSH θα σας δώσει μια καλή επισκόπηση του εάν κάποιος προσπαθεί να ασκήσει ωμή βία στο σύστημά σας.
Από προεπιλογή, η καταγραφή SSH είναι απενεργοποιημένη σε ορισμένα συστήματα. Μπορείτε να το ενεργοποιήσετε επεξεργάζοντάς το /etc/ssh/sshd_config αρχείο. Χρησιμοποιήστε οποιοδήποτε από τα αγαπημένα σας προγράμματα επεξεργασίας κειμένου και αφαιρέστε το σχόλιο της γραμμής ΠΛΗΡΟΦΟΡΙΕΣ LogLevel και επίσης να το επεξεργαστείτε σε LogLevel VERBOSE. Θα πρέπει να μοιάζει με το ακόλουθο μετά τις αλλαγές:
Θα χρειαστεί να επανεκκινήσετε την υπηρεσία SSH αφού κάνετε αυτήν την αλλαγή:
sudo systemctl επανεκκίνηση sshΌλες οι συνδέσεις ή οι δραστηριότητες SSH θα καταγράφονται τώρα στο /var/log/auth.log αρχείο. Το αρχείο περιέχει έναν τόνο πληροφοριών για την παρακολούθηση των συνδέσεων και των προσπαθειών σύνδεσης στο σύστημά σας Linux.
Μπορείτε να χρησιμοποιήσετε το Γάτα εντολή ή οποιοδήποτε άλλο εργαλείο εξόδου για την ανάγνωση του περιεχομένου του auth.log αρχείο:
cat /var/log/auth.logΧρησιμοποιήστε το grep για να φιλτράρετε συγκεκριμένες συνδέσεις SSH. Για παράδειγμα, για να παραθέσετε τις αποτυχημένες προσπάθειες σύνδεσης, μπορείτε να εκτελέσετε την ακόλουθη εντολή:
sudo grep "Αποτυχία" /var/log/auth.logΕκτός από την προβολή αποτυχημένων προσπαθειών σύνδεσης, είναι επίσης καλή ιδέα να κοιτάξετε τους συνδεδεμένους χρήστες και να εντοπίσετε εάν υπάρχουν ύποπτοι. για παράδειγμα, πρώην εργαζόμενοι.
4. Παρακολούθηση συνδέσεων FTP σε Linux
Το FTP είναι ένα ευρέως χρησιμοποιούμενο πρωτόκολλο για τη μεταφορά αρχείων μεταξύ ενός πελάτη και ενός διακομιστή. Πρέπει να έχετε πιστοποιηθεί στον διακομιστή για να μπορείτε να μεταφέρετε αρχεία.
Δεδομένου ότι η υπηρεσία περιλαμβάνει τη μεταφορά αρχείων, τυχόν παραβιάσεις ασφαλείας μπορεί να έχουν σοβαρές επιπτώσεις στο απόρρητό σας. Ευτυχώς, μπορείτε εύκολα να παρακολουθείτε τις συνδέσεις FTP και όλες τις άλλες σχετικές δραστηριότητες φιλτράροντας για "FTP" στο /var/log/syslog αρχείο χρησιμοποιώντας την ακόλουθη εντολή:
grep ftp /var/log/syslogΠαρακολουθήστε τις συνδέσεις στο Linux για καλύτερη ασφάλεια
Κάθε διαχειριστής συστήματος θα πρέπει να είναι προορατικός στην ασφάλεια του συστήματός του. Η παρακολούθηση των συνδέσεών σας από καιρό σε καιρό είναι ο καλύτερος τρόπος για να εντοπίσετε ύποπτη δραστηριότητα.
Μπορείτε επίσης να χρησιμοποιήσετε εργαλεία όπως το fail2ban για να πραγματοποιήσετε αυτόματα προληπτικά μέτρα για λογαριασμό σας.
