Als systeembeheerder is het belangrijk om gebruikersaanmeldingen op een Linux-systeem regelmatig te controleren op verdachte activiteiten.
Of u nu een Linux-beheerder bent met servers en meerdere gebruikers onder uw hoede of een gewone Linux-gebruiker, het is altijd goed om proactief te zijn bij het beveiligen van uw systeem.
Een van de manieren waarop u uw systeem actief kunt beveiligen, is door gebruikersaanmeldingen te controleren, met name momenteel ingelogde gebruikers en mislukte aanmeldingen of aanmeldingspogingen.
Waarom aanmeldingen op Linux controleren?
Het monitoren van aanmeldingen op uw Linux-systeem is om verschillende redenen een belangrijke activiteit:
- Naleving: De meeste IT-beveiligingsnormen, -regelgeving en -regeringen vereisen dat u logboeken controleert om te voldoen aan de best practices in de branche.
- Beveiliging: Monitoringlogboeken helpen u de beveiliging van uw systemen te verbeteren, omdat u inzicht heeft in de gebruikers die toegang hebben tot uw systeem of proberen toegang te krijgen tot uw systeem. Hierdoor kunt u preventieve maatregelen nemen als u ongewenste inlogactiviteiten opmerkt.
- Probleemoplossen: Ontdek waarom een gebruiker problemen heeft met inloggen op uw systeem.
- Auditspoor: Inloglogboeken zijn een goede bron van informatie voor IT-beveiligingsaudits en aanverwante activiteiten.
Er zijn vier hoofdtypen aanmeldingen die u op uw systeem moet controleren: geslaagde aanmeldingen, mislukte aanmeldingen, SSH-aanmeldingen en FTP-aanmeldingen. Laten we eens kijken hoe u elk van deze op Linux kunt controleren.
1. De laatste opdracht gebruiken
laatst is een krachtig opdrachtregelhulpprogramma voor het controleren van eerdere aanmeldingen op uw systeem, inclusief geslaagde en mislukte aanmeldingen. Bovendien geeft het ook systeemuitschakelingen, herstarts en uitloggen weer.
Open gewoon uw terminal en voer de volgende opdracht uit om alle inloggegevens weer te geven:
laatstU kunt grep gebruiken om te filteren op specifieke logins. Bijvoorbeeld naar lijst met huidige ingelogde gebruikers, kunt u de opdracht uitvoeren:
laatste | grep "ingelogd"U kunt ook de w opdracht om ingelogde gebruikers te tonen en wat ze doen; om dit te doen, voert u gewoon in w in de terminal.
2. Gebruik het lastlog-commando
De laatste logboek utility toont de inloggegevens van alle gebruikers, inclusief standaardgebruikers, systeemgebruikers en serviceaccountgebruikers.
sudo lastlogDe uitvoer bevat alle gebruikers, weergegeven in een nette indeling met hun gebruikersnaam, de poort die ze gebruiken, het oorspronkelijke IP-adres en het tijdstempel waarop ze hebben ingelogd.
Bekijk de man-pagina's van lastlog met het commando man lastlog voor meer informatie over het gebruik en de opdrachtopties.
3. Bewaking van SSH-aanmeldingen op Linux
Een van de meest gebruikelijke manieren om op afstand toegang te krijgen tot Linux-servers is via SSH. Als uw pc of server met internet is verbonden, moet u dat doen beveilig uw SSH-verbindingen (bijvoorbeeld door op wachtwoord gebaseerde SSH-aanmeldingen uit te schakelen).
Door SSH-aanmeldingen te controleren, krijgt u een goed overzicht of iemand uw systeem met brute kracht probeert binnen te dringen.
Op sommige systemen is SSH-logboekregistratie standaard uitgeschakeld. U kunt het inschakelen door de /etc/ssh/sshd_config bestand. Gebruik een van uw favoriete teksteditors en verwijder het commentaar op de regel LogNiveau INFO en bewerk het ook naar LogLevel UITGEBREID. Het zou er na de wijzigingen ongeveer zo uit moeten zien:
Je moet de SSH-service opnieuw opstarten nadat je deze wijziging hebt aangebracht:
sudo systemctl herstart sshAlle SSH-aanmeldingen of -activiteiten worden nu gelogd in het /var/log/auth.log bestand. Het bestand bevat heel veel informatie voor het monitoren van aanmeldingen en aanmeldingspogingen op uw Linux-systeem.
U kunt de kat commando of een andere uitvoertool om de inhoud van het auth.log bestand:
kat /var/log/auth.logGebruik grep om te filteren op specifieke SSH-aanmeldingen. Om bijvoorbeeld mislukte inlogpogingen weer te geven, kunt u de volgende opdracht uitvoeren:
sudo grep "Mislukt" /var/log/auth.logNaast het bekijken van mislukte inlogpogingen, is het ook een goed idee om naar de ingelogde gebruikers te kijken en te detecteren of er verdachte zijn; bijvoorbeeld oud-werknemers.
4. Bewaking van FTP-aanmeldingen op Linux
FTP is een veel gebruikt protocol voor het uitwisselen van bestanden tussen een client en een server. U moet op de server worden geverifieerd om bestanden te kunnen overdragen.
Aangezien de service betrekking heeft op het overdragen van bestanden, kunnen eventuele inbreuken op de beveiliging ernstige gevolgen hebben voor uw privacy. Gelukkig kun je eenvoudig FTP-aanmeldingen en alle andere gerelateerde activiteiten controleren door te filteren op "FTP" in de /var/log/syslog bestand met behulp van de volgende opdracht:
grep ftp /var/log/syslogMonitor aanmeldingen op Linux voor betere beveiliging
Elke systeembeheerder moet proactief zijn in het beveiligen van zijn systeem. Het van tijd tot tijd controleren van uw aanmeldingen is de beste manier om verdachte activiteiten te detecteren.
U kunt ook tools zoals fail2ban gebruiken om preventieve maatregelen automatisch voor u uit te voeren.
