Als Systemadministrator ist es wichtig, die Benutzeranmeldungen auf einem Linux-System regelmäßig auf verdächtige Aktivitäten zu überwachen.

Egal, ob Sie ein Linux-Administrator mit Servern und mehreren Benutzern unter Ihrer Aufsicht oder ein normaler Linux-Benutzer sind, es ist immer gut, bei der Sicherung Ihres Systems proaktiv vorzugehen.

Eine Möglichkeit, Ihr System aktiv zu schützen, besteht darin, Benutzeranmeldungen zu überwachen, insbesondere aktuell angemeldete Benutzer und fehlgeschlagene Anmeldungen oder Anmeldeversuche.

Warum Anmeldungen unter Linux überwachen?

Die Überwachung der Anmeldungen auf Ihrem Linux-System ist aus mehreren Gründen eine wichtige Aktivität:

  • Einhaltung: Die meisten IT-Sicherheitsstandards, -Vorschriften und -Regierungen verlangen, dass Sie Protokolle überwachen, um den besten Branchenpraktiken zu entsprechen.
  • Sicherheit: Durch die Überwachung von Protokollen können Sie die Sicherheit Ihrer Systeme verbessern, da Sie Einblick in die Benutzer haben, die auf Ihr System zugreifen oder darauf zugreifen. Dies ermöglicht Ihnen, vorbeugende Maßnahmen zu ergreifen, wenn Sie unerwünschte Anmeldeaktivitäten bemerken.
    instagram viewer
  • Fehlerbehebung: Finden Sie heraus, warum ein Benutzer möglicherweise Probleme hat, sich bei Ihrem System anzumelden.
  • Prüfpfad: Anmeldeprotokolle sind eine gute Informationsquelle für IT-Sicherheitsprüfungen und damit verbundene Aktivitäten.

Es gibt vier Haupttypen von Anmeldungen, die Sie auf Ihrem System überwachen sollten: erfolgreiche Anmeldungen, fehlgeschlagene Anmeldungen, SSH-Anmeldungen und FTP-Anmeldungen. Schauen wir uns an, wie Sie diese unter Linux überwachen können.

1. Mit dem letzten Befehl

zuletzt ist ein leistungsstarkes Befehlszeilendienstprogramm zur Überwachung früherer Anmeldungen auf Ihrem System, einschließlich erfolgreicher und fehlgeschlagener Anmeldungen. Darüber hinaus werden Systemabschaltungen, Neustarts und Abmeldungen angezeigt.

Öffnen Sie einfach Ihr Terminal und führen Sie den folgenden Befehl aus, um alle Anmeldeinformationen anzuzeigen:

zuletzt

Sie können grep verwenden, um nach bestimmten Anmeldungen zu filtern. Zum Beispiel, um Liste der aktuell angemeldeten Benutzer, können Sie den folgenden Befehl ausführen:

zuletzt | grep „eingeloggt“

Sie können auch die verwenden w Befehl, um angemeldete Benutzer und deren Aktivitäten anzuzeigen; Geben Sie dazu einfach ein w im Terminal.

2. Verwenden des lastlog-Befehls

Der letztes Protokoll Das Dienstprogramm zeigt Anmeldedaten aller Benutzer an, einschließlich Standardbenutzern, Systembenutzern und Dienstkontobenutzern.

sudo lastlog

Die Ausgabe enthält alle Benutzer, angezeigt in einem übersichtlichen Format, das ihren Benutzernamen, den von ihnen verwendeten Port, die Ursprungs-IP-Adresse und den Zeitstempel, mit dem sie sich angemeldet haben, anzeigt.

Schauen Sie sich mit dem Befehl die Lastlog-Manpages an Mann Lastlog um mehr über seine Verwendung und Befehlsoptionen zu erfahren.

3. Überwachen von SSH-Anmeldungen unter Linux

Eine der gebräuchlichsten Möglichkeiten, Fernzugriff auf Linux-Server zu erhalten, ist SSH. Wenn Ihr PC oder Server mit dem Internet verbunden ist, müssen Sie dies tun Sichern Sie Ihre SSH-Verbindungen (z. B. durch Deaktivierung passwortbasierter SSH-Anmeldungen).

Durch die Überwachung von SSH-Anmeldungen erhalten Sie einen guten Überblick darüber, ob jemand versucht, mit roher Gewalt in Ihr System einzudringen.

Standardmäßig ist die SSH-Protokollierung auf einigen Systemen deaktiviert. Sie können es aktivieren, indem Sie die bearbeiten /etc/ssh/sshd_config Datei. Verwenden Sie einen Ihrer bevorzugten Texteditoren und kommentieren Sie die Zeile aus LogLevel-INFO und bearbeiten Sie es auch LogLevel VERBOSE. Nach den Änderungen sollte es etwa so aussehen:

Nachdem Sie diese Änderung vorgenommen haben, müssen Sie den SSH-Dienst neu starten:

sudo systemctl ssh neu starten

Alle SSH-Anmeldungen oder -Aktivitäten werden jetzt im protokolliert /var/log/auth.log Datei. Die Datei enthält zahlreiche Informationen zur Überwachung von Anmeldungen und Anmeldeversuchen auf Ihrem Linux-System.

Du kannst den... benutzen Katze Befehl oder ein anderes Ausgabetool zum Lesen des Inhalts auth.log Datei:

cat /var/log/auth.log

Verwenden Sie grep, um nach bestimmten SSH-Anmeldungen zu filtern. Um beispielsweise fehlgeschlagene Anmeldeversuche aufzulisten, können Sie den folgenden Befehl ausführen:

sudo grep „Fehlgeschlagen“ /var/log/auth.log

Neben der Anzeige fehlgeschlagener Anmeldeversuche ist es auch eine gute Idee, sich die angemeldeten Benutzer anzusehen und festzustellen, ob es verdächtige Benutzer gibt. zum Beispiel ehemalige Mitarbeiter.

4. Überwachen von FTP-Anmeldungen unter Linux

FTP ist ein weit verbreitetes Protokoll zum Übertragen von Dateien zwischen einem Client und einem Server. Um Dateien übertragen zu können, müssen Sie am Server authentifiziert sein.

Da es sich bei dem Dienst um die Übertragung von Dateien handelt, können Sicherheitsverstöße schwerwiegende Auswirkungen auf Ihre Privatsphäre haben. Glücklicherweise können Sie FTP-Anmeldungen und alle anderen damit verbundenen Aktivitäten ganz einfach überwachen, indem Sie in der Datei nach „FTP“ filtern /var/log/syslog Datei mit dem folgenden Befehl:

grep ftp /var/log/syslog

Überwachen Sie Anmeldungen unter Linux für mehr Sicherheit

Jeder Systemadministrator sollte bei der Sicherung seines Systems proaktiv vorgehen. Die regelmäßige Überwachung Ihrer Anmeldungen ist die beste Möglichkeit, verdächtige Aktivitäten zu erkennen.

Sie können auch Tools wie fail2ban nutzen, um in Ihrem Namen automatisch vorbeugende Maßnahmen durchzuführen.