خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

نحوه نظارت بر ورود کاربران در لینوکس

به عنوان یک مدیر سیستم، نظارت منظم بر ورود کاربران در سیستم لینوکس برای فعالیت های مشکوک بسیار مهم است.

چه یک مدیر لینوکس با سرورها و چندین کاربر تحت نظارت خود باشید یا یک کاربر معمولی لینوکس، همیشه خوب است که در ایمن سازی سیستم خود فعال باشید.

یکی از راه‌هایی که می‌توانید به طور فعال سیستم خود را ایمن کنید، نظارت بر ورود کاربران، به‌ویژه کاربرانی که در حال حاضر وارد سیستم شده‌اند و تلاش‌های لاگین یا ورود ناموفق است.

چرا ورود به سیستم را در لینوکس نظارت کنیم؟

نظارت بر ورود به سیستم لینوکس شما به چند دلیل یک فعالیت مهم است:

  • انطباق: اکثر استانداردها، مقررات و دولت‌های امنیت فناوری اطلاعات از شما می‌خواهند که لاگ‌ها را رصد کنید تا با بهترین شیوه‌های صنعت مطابقت داشته باشند.
  • امنیت: گزارش‌های نظارت به شما کمک می‌کنند تا امنیت سیستم‌های خود را بهبود ببخشید زیرا کاربرانی که به سیستم شما دسترسی دارند یا تلاش می‌کنند به سیستم شما دسترسی داشته باشند قابل مشاهده هستید. این به شما امکان می دهد در صورت مشاهده فعالیت های ورود ناخواسته اقدامات پیشگیرانه انجام دهید.
  • عیب یابی: دریابید که چرا یک کاربر ممکن است در ورود به سیستم شما با مشکل مواجه شود.
  • دنباله حسابرسی: گزارش‌های ورود منبع اطلاعات خوبی برای ممیزی‌های امنیت فناوری اطلاعات و فعالیت‌های مرتبط هستند.

چهار نوع اصلی ورود وجود دارد که باید روی سیستم خود نظارت کنید: ورود موفق، ورود ناموفق، ورود به سیستم SSH و ورود به سیستم FTP. بیایید ببینیم چگونه می توانید هر یک از اینها را در لینوکس نظارت کنید.

مطلب مرتبط:   چگونه Asahi Linux را روی Apple Silicon Mac خود نصب کنیم

1. استفاده از آخرین فرمان

last یک ابزار خط فرمان قدرتمند برای نظارت بر ورودهای قبلی در سیستم شما، از جمله ورودهای موفق و ناموفق است. علاوه بر این، خاموش شدن سیستم، راه اندازی مجدد و خروج از سیستم را نیز نمایش می دهد.

به سادگی ترمینال خود را باز کنید و دستور زیر را اجرا کنید تا تمام اطلاعات ورود به سیستم نمایش داده شود:

last

لیستی از لاگین ها در لینوکس با استفاده از آخرین دستور ورود

می توانید از grep برای فیلتر کردن لاگین های خاص استفاده کنید. به عنوان مثال، برای فهرست کردن کاربرانی که وارد سیستم شده‌اند، می‌توانید این دستور را اجرا کنید:

last | grep "logged in"

همچنین می توانید از دستور w برای نشان دادن کاربرانی که وارد سیستم شده اند و کارهایی که انجام می دهند استفاده کنید. برای انجام این کار، به سادگی w را در ترمینال وارد کنید.

2. با استفاده از دستور lastlog

ابزار lastlog جزئیات ورود همه کاربران از جمله کاربران استاندارد، کاربران سیستم و کاربران حساب خدمات را نمایش می دهد.

sudo lastlog

دستور lastlog که ورود کاربر به لینوکس را نشان می دهد

خروجی شامل همه کاربران است که در قالبی منظم نمایش داده می شود که نام کاربری، پورتی که استفاده می کنند، آدرس IP مبدا و مهر زمانی که با آن وارد شده اند را نشان می دهد.

صفحات man lastlog را با استفاده از دستور man lastlog بررسی کنید تا در مورد استفاده و گزینه های دستور بیشتر بدانید.

3. نظارت بر ورود SSH در لینوکس

یکی از رایج ترین راه ها برای دسترسی از راه دور به سرورهای لینوکس از طریق SSH است. اگر رایانه یا سرور شما به اینترنت متصل است، باید اتصالات SSH خود را ایمن کنید (مثلاً با غیرفعال کردن ورودهای SSH مبتنی بر رمز عبور).

مطلب مرتبط:   چگونه بسته های شکسته را در لینوکس پیدا و رفع کنیم

نظارت بر ورود به سیستم SSH به شما یک نمای کلی از اینکه آیا کسی سعی در اعمال زور به سیستم شما دارد به شما می دهد.

به طور پیش فرض، ثبت SSH در برخی از سیستم ها غیرفعال است. می توانید با ویرایش فایل /etc/ssh/sshd_config آن را فعال کنید. از هر یک از ویرایشگرهای متن مورد علاقه خود استفاده کنید و خط LogLevel INFO را حذف کنید و همچنین آن را به LogLevel VERBOSE ویرایش کنید. پس از تغییرات باید شبیه به شکل زیر باشد:

فعال کردن ورود به سیستم در SSH، Linux

پس از انجام این تغییر، باید سرویس SSH را مجدداً راه اندازی کنید:

sudo systemctl restart ssh

همه لاگین‌ها یا فعالیت‌های SSH اکنون در فایل /var/log/auth.log ثبت می‌شوند. این فایل حاوی اطلاعات زیادی برای نظارت بر ورود و تلاش برای ورود به سیستم لینوکس شما است.

می توانید از دستور cat یا هر ابزار خروجی دیگری برای خواندن محتوای فایل auth.log استفاده کنید:

cat /var/log/auth.log

از grep برای فیلتر کردن ورودی های SSH خاص استفاده کنید. به عنوان مثال، برای فهرست کردن تلاش‌های ناموفق برای ورود، می‌توانید دستور زیر را اجرا کنید:

sudo grep "Failed" /var/log/auth.log

جدای از مشاهده تلاش های ناموفق برای ورود به سیستم، همچنین ایده خوبی است که به کاربران وارد شده نگاه کنید و موارد مشکوکی را شناسایی کنید. به عنوان مثال، کارمندان سابق.

4. نظارت بر ورود FTP در لینوکس

FTP یک پروتکل پرکاربرد برای انتقال فایل ها بین یک کلاینت و یک سرور است. برای اینکه بتوانید فایل ها را انتقال دهید باید در سرور احراز هویت شده باشید.

مطلب مرتبط:   نحوه استفاده از ncdu برای بررسی فضای دیسک در اوبونتو

از آنجایی که این سرویس شامل انتقال فایل ها می شود، هرگونه نقض امنیتی می تواند پیامدهای جدی برای حریم خصوصی شما داشته باشد. خوشبختانه، شما به راحتی می توانید ورود به FTP و تمام فعالیت های مرتبط دیگر را با فیلتر کردن “FTP” در فایل /var/log/syslog با استفاده از دستور زیر نظارت کنید:

grep ftp /var/log/syslog

برای امنیت بهتر، ورودها را در لینوکس نظارت کنید

هر مدیر سیستم باید در ایمن سازی سیستم خود فعال باشد. نظارت هر از چندگاهی بر ورود شما بهترین راه برای شناسایی فعالیت های مشکوک است.

همچنین می توانید از ابزارهایی مانند fail2ban برای انجام خودکار اقدامات پیشگیرانه از طرف خود استفاده کنید.