به عنوان یک مدیر سیستم، نظارت منظم بر ورود کاربران در سیستم لینوکس برای فعالیت های مشکوک بسیار مهم است.
چه یک مدیر لینوکس با سرورها و چندین کاربر تحت نظارت خود باشید یا یک کاربر معمولی لینوکس، همیشه خوب است که در ایمن سازی سیستم خود فعال باشید.
یکی از راههایی که میتوانید به طور فعال سیستم خود را ایمن کنید، نظارت بر ورود کاربران، بهویژه کاربرانی که در حال حاضر وارد سیستم شدهاند و تلاشهای لاگین یا ورود ناموفق است.
چرا ورود به سیستم را در لینوکس نظارت کنیم؟
نظارت بر ورود به سیستم لینوکس شما به چند دلیل یک فعالیت مهم است:
- انطباق: اکثر استانداردها، مقررات و دولتهای امنیت فناوری اطلاعات از شما میخواهند که لاگها را رصد کنید تا با بهترین شیوههای صنعت مطابقت داشته باشند.
- امنیت: گزارشهای نظارت به شما کمک میکنند تا امنیت سیستمهای خود را بهبود ببخشید زیرا کاربرانی که به سیستم شما دسترسی دارند یا تلاش میکنند به سیستم شما دسترسی داشته باشند قابل مشاهده هستید. این به شما امکان می دهد در صورت مشاهده فعالیت های ورود ناخواسته اقدامات پیشگیرانه انجام دهید.
- عیب یابی: دریابید که چرا یک کاربر ممکن است در ورود به سیستم شما با مشکل مواجه شود.
- دنباله حسابرسی: گزارشهای ورود منبع اطلاعات خوبی برای ممیزیهای امنیت فناوری اطلاعات و فعالیتهای مرتبط هستند.
چهار نوع اصلی ورود وجود دارد که باید روی سیستم خود نظارت کنید: ورود موفق، ورود ناموفق، ورود به سیستم SSH و ورود به سیستم FTP. بیایید ببینیم چگونه می توانید هر یک از اینها را در لینوکس نظارت کنید.
1. استفاده از آخرین فرمان
last یک ابزار خط فرمان قدرتمند برای نظارت بر ورودهای قبلی در سیستم شما، از جمله ورودهای موفق و ناموفق است. علاوه بر این، خاموش شدن سیستم، راه اندازی مجدد و خروج از سیستم را نیز نمایش می دهد.
به سادگی ترمینال خود را باز کنید و دستور زیر را اجرا کنید تا تمام اطلاعات ورود به سیستم نمایش داده شود:
last
می توانید از grep برای فیلتر کردن لاگین های خاص استفاده کنید. به عنوان مثال، برای فهرست کردن کاربرانی که وارد سیستم شدهاند، میتوانید این دستور را اجرا کنید:
last | grep "logged in"
همچنین می توانید از دستور w برای نشان دادن کاربرانی که وارد سیستم شده اند و کارهایی که انجام می دهند استفاده کنید. برای انجام این کار، به سادگی w را در ترمینال وارد کنید.
2. با استفاده از دستور lastlog
ابزار lastlog جزئیات ورود همه کاربران از جمله کاربران استاندارد، کاربران سیستم و کاربران حساب خدمات را نمایش می دهد.
sudo lastlog
خروجی شامل همه کاربران است که در قالبی منظم نمایش داده می شود که نام کاربری، پورتی که استفاده می کنند، آدرس IP مبدا و مهر زمانی که با آن وارد شده اند را نشان می دهد.
صفحات man lastlog را با استفاده از دستور man lastlog بررسی کنید تا در مورد استفاده و گزینه های دستور بیشتر بدانید.
3. نظارت بر ورود SSH در لینوکس
یکی از رایج ترین راه ها برای دسترسی از راه دور به سرورهای لینوکس از طریق SSH است. اگر رایانه یا سرور شما به اینترنت متصل است، باید اتصالات SSH خود را ایمن کنید (مثلاً با غیرفعال کردن ورودهای SSH مبتنی بر رمز عبور).
نظارت بر ورود به سیستم SSH به شما یک نمای کلی از اینکه آیا کسی سعی در اعمال زور به سیستم شما دارد به شما می دهد.
به طور پیش فرض، ثبت SSH در برخی از سیستم ها غیرفعال است. می توانید با ویرایش فایل /etc/ssh/sshd_config آن را فعال کنید. از هر یک از ویرایشگرهای متن مورد علاقه خود استفاده کنید و خط LogLevel INFO را حذف کنید و همچنین آن را به LogLevel VERBOSE ویرایش کنید. پس از تغییرات باید شبیه به شکل زیر باشد:
پس از انجام این تغییر، باید سرویس SSH را مجدداً راه اندازی کنید:
sudo systemctl restart ssh
همه لاگینها یا فعالیتهای SSH اکنون در فایل /var/log/auth.log ثبت میشوند. این فایل حاوی اطلاعات زیادی برای نظارت بر ورود و تلاش برای ورود به سیستم لینوکس شما است.
می توانید از دستور cat یا هر ابزار خروجی دیگری برای خواندن محتوای فایل auth.log استفاده کنید:
cat /var/log/auth.log
از grep برای فیلتر کردن ورودی های SSH خاص استفاده کنید. به عنوان مثال، برای فهرست کردن تلاشهای ناموفق برای ورود، میتوانید دستور زیر را اجرا کنید:
sudo grep "Failed" /var/log/auth.log
جدای از مشاهده تلاش های ناموفق برای ورود به سیستم، همچنین ایده خوبی است که به کاربران وارد شده نگاه کنید و موارد مشکوکی را شناسایی کنید. به عنوان مثال، کارمندان سابق.
4. نظارت بر ورود FTP در لینوکس
FTP یک پروتکل پرکاربرد برای انتقال فایل ها بین یک کلاینت و یک سرور است. برای اینکه بتوانید فایل ها را انتقال دهید باید در سرور احراز هویت شده باشید.
از آنجایی که این سرویس شامل انتقال فایل ها می شود، هرگونه نقض امنیتی می تواند پیامدهای جدی برای حریم خصوصی شما داشته باشد. خوشبختانه، شما به راحتی می توانید ورود به FTP و تمام فعالیت های مرتبط دیگر را با فیلتر کردن “FTP” در فایل /var/log/syslog با استفاده از دستور زیر نظارت کنید:
grep ftp /var/log/syslog
برای امنیت بهتر، ورودها را در لینوکس نظارت کنید
هر مدیر سیستم باید در ایمن سازی سیستم خود فعال باشد. نظارت هر از چندگاهی بر ورود شما بهترین راه برای شناسایی فعالیت های مشکوک است.
همچنین می توانید از ابزارهایی مانند fail2ban برای انجام خودکار اقدامات پیشگیرانه از طرف خود استفاده کنید.