In qualità di amministratore di sistema, è importante monitorare regolarmente gli accessi degli utenti su un sistema Linux per attività sospette.
Che tu sia un amministratore Linux con server e più utenti sotto la tua sorveglianza o un normale utente Linux, è sempre bene essere proattivi nel proteggere il tuo sistema.
Uno dei modi in cui puoi proteggere attivamente il tuo sistema è monitorare gli accessi degli utenti, in particolare gli utenti attualmente connessi e gli accessi o i tentativi di accesso falliti.
Perché monitorare gli accessi su Linux?
Il monitoraggio degli accessi sul tuo sistema Linux è un'attività importante per diversi motivi:
- Conformità: La maggior parte degli standard, delle normative e dei governi di sicurezza IT richiede che il monitoraggio dei registri sia conforme alle migliori pratiche del settore.
- Sicurezza: Il monitoraggio dei registri ti aiuterà a migliorare la sicurezza sui tuoi sistemi perché hai visibilità sugli utenti che accedono o tentano di accedere al tuo sistema. Ciò consente di adottare misure preventive se si notano attività di accesso indesiderate.
- Risoluzione dei problemi: Scopri perché un utente potrebbe avere problemi ad accedere al tuo sistema.
- Pista di controllo: I log di accesso sono una buona fonte di informazioni per gli audit di sicurezza IT e le attività correlate.
Esistono quattro tipi principali di accessi che dovresti monitorare sul tuo sistema: accessi riusciti, accessi non riusciti, accessi SSH e accessi FTP. Diamo un'occhiata a come puoi monitorare ognuno di questi su Linux.
1. Utilizzando l'ultimo comando
scorso è una potente utilità della riga di comando per il monitoraggio degli accessi precedenti sul sistema, inclusi gli accessi riusciti e non riusciti. Inoltre, visualizza anche gli arresti, i riavvii e le disconnessioni del sistema.
Basta aprire il terminale ed eseguire il seguente comando per visualizzare tutte le informazioni di accesso:
scorsoÈ possibile utilizzare grep per filtrare accessi specifici. Ad esempio, a elenca gli utenti che hanno effettuato l'accesso, puoi eseguire il comando:
ultimo | grep "loggato"Puoi anche usare il w comando per mostrare gli utenti loggati e cosa stanno facendo; per farlo basta entrare w nel terminale.
2. Usando il comando lastlog
IL lastlog l'utilità visualizza i dettagli di accesso di tutti gli utenti, inclusi gli utenti standard, gli utenti di sistema e gli utenti dell'account di servizio.
sudo lastlogL'output contiene tutti gli utenti, visualizzati in un formato ordinato che mostra il loro nome utente, la porta che stanno utilizzando, l'indirizzo IP di origine e il timestamp a cui hanno effettuato l'accesso.
Controlla le pagine man di lastlog usando il comando man lastlog per saperne di più sul suo utilizzo e sulle opzioni di comando.
3. Monitoraggio degli accessi SSH su Linux
Uno dei modi più comuni per ottenere l'accesso remoto ai server Linux è tramite SSH. Se il tuo PC o server è connesso a Internet, devi farlo proteggere le connessioni SSH (disabilitando gli accessi SSH basati su password, ad esempio).
Il monitoraggio degli accessi SSH ti darà una buona panoramica del fatto che qualcuno stia tentando di forzare il tuo sistema.
Per impostazione predefinita, la registrazione SSH è disabilitata su alcuni sistemi. Puoi abilitarlo modificando il file /etc/ssh/sshd_config file. Usa uno dei tuoi editor di testo preferiti e decommenta la riga INFORMAZIONI sul livello di registro e anche modificarlo in LogLevel VERBOSE. Dovrebbe essere simile al seguente dopo le modifiche:
Dovrai riavviare il servizio SSH dopo aver apportato questa modifica:
sudo systemctl riavvia sshTutti gli accessi o le attività SSH verranno ora registrati nel file /var/log/auth.log file. Il file contiene un sacco di informazioni per il monitoraggio degli accessi e dei tentativi di accesso sul tuo sistema Linux.
Puoi usare il gatto comando o qualsiasi altro strumento di output per leggere il contenuto del file aut.log file:
cat /var/log/auth.logUsa grep per filtrare accessi SSH specifici. Ad esempio, per elencare i tentativi di accesso non riusciti, puoi eseguire il seguente comando:
sudo grep "Fallito" /var/log/auth.logOltre a visualizzare i tentativi di accesso falliti, è anche una buona idea esaminare gli utenti che hanno effettuato l'accesso e rilevare se ce ne sono di sospetti; ad esempio, ex dipendenti.
4. Monitoraggio degli accessi FTP su Linux
FTP è un protocollo ampiamente utilizzato per il trasferimento di file tra un client e un server. Devi essere autenticato sul server per poter trasferire i file.
Poiché il servizio prevede il trasferimento di file, qualsiasi violazione della sicurezza può avere gravi implicazioni per la tua privacy. Fortunatamente, puoi monitorare facilmente gli accessi FTP e tutte le altre attività correlate filtrando "FTP" nel file /var/log/syslog file utilizzando il seguente comando:
grep ftp /var/log/syslogMonitora gli accessi su Linux per una maggiore sicurezza
Ogni amministratore di sistema dovrebbe essere proattivo nel proteggere il proprio sistema. Monitorare periodicamente i tuoi accessi è il modo migliore per rilevare attività sospette.
Puoi anche utilizzare strumenti come fail2ban per eseguire automaticamente misure preventive per tuo conto.