نحوه نظارت بر ورود کاربران در لینوکس
یکی از راههایی که میتوانید به طور فعال سیستم خود را ایمن کنید، نظارت بر ورود کاربران، بهویژه کاربرانی که در حال حاضر وارد سیستم شدهاند و تلاشهای لاگین یا ورود ناموفق داشته اند، می باشد. در این پست نحوه نظارت بر ورود کاربران در لینوکس را بررسی می کنیم.
چرا نظارت بر ورود کاربران در لینوکس مهم است؟
نظارت بر ورود به سیستم لینوکس شما به چند دلیل می تواند مهم باشد که عبارتند از:
- انطباق: اکثر استانداردها، مقررات و سازمان های امنیت فناوری اطلاعات از شما میخواهند که لاگها را رصد کنید تا با بهترین سیاست های امنیتی مطابقت داشته باشد.
- امنیت: گزارشهای نظارت به شما کمک میکنند تا امنیت سیستمهای خود را بهبود ببخشید زیرا کاربرانی که به سیستم شما دسترسی دارند یا سعی میکنند به سیستم شما دسترسی داشته باشند قابل مشاهده هستید. این به شما امکان می دهد در صورت مشاهده فعالیت های ورود ناخواسته اقدامات پیشگیرانه انجام دهید.
- عیب یابی: یک کاربر ممکن است در ورود به سیستم شما با مشکل مواجه شود که میتوانید دلیل آن را پیدا کنید.
به طور کلی چهار نوع ورود وجود دارد که باید روی سیستم خود نظارت کنید: ورود موفق، ورود ناموفق، ورود به سیستم SSH و ورود به سیستم FTP. بیایید ببینیم چگونه می توانید هر یک از اینها را در لینوکس نظارت کنید.
1. استفاده از دستور last
last یک ابزار خط فرمان قدرتمند برای نظارت بر ورودهای قبلی در سیستم شما، از جمله ورودهای موفق و ناموفق است. علاوه بر این، خاموش شدن سیستم، راه اندازی مجدد و خروج از سیستم را نیز نمایش می دهد.
به سادگی ترمینال لینوکس خود را باز کرده و دستور زیر را اجرا کنید تا تمام اطلاعات ورود به سیستم نمایش داده شود:
last
همچنین می توانید از grep برای فیلتر کردن لاگین های خاص استفاده کنید. به عنوان مثال، برای فهرست کردن کاربرانی که وارد سیستم شدهاند ، میتوانید این دستور را اجرا کنید:
last | grep "logged in"
علاوه بر این از دستور w نیز می توانید برای نشان دادن کاربرانی که وارد سیستم شده اند و کارهایی که انجام می دهند استفاده کنید. برای انجام این کار، به سادگی w را در ترمینال وارد کنید.
2. استفاده از دستور lastlog
ابزار lastlog جزئیات ورود همه کاربران از جمله کاربران استاندارد، کاربران سیستم و غیره را نمایش می دهد.
خروجی این دستور شامل همه کاربران است که در قالبی منظم به همراه نام کاربری، پورتی که استفاده می کنند، آدرس IP مبدا و زمانی که وارد سیستم شده اند را نشان می دهد.
3. نظارت بر ورود SSH در لینوکس
یکی از رایج ترین راه ها برای دسترسی از راه دور به سرورهای لینوکس از طریق SSH است. اگر رایانه یا سرور شما به اینترنت متصل است، باید اتصالات SSH خود را ایمن کنید (مثلاً با غیرفعال کردن ورودهای SSH مبتنی بر رمز عبور).
نظارت بر ورود به سیستم SSH به شما یک نمای کلی از اینکه آیا کسی در تلاش است تا بدون اجازه وارد سیستم شما شود، به شما می دهد.
به طور پیش فرض، ثبت SSH در برخی از سیستم ها غیرفعال است. می توانید با ویرایش فایل /etc/ssh/sshd_config آن را فعال کنید. در فایل گفته شده خط LogLevel INFO را حذف کنید و همچنین آن را به LogLevel VERBOSE ویرایش کنید. پس از تغییرات باید شبیه به شکل زیر باشد:
پس از انجام این تغییر، باید سرویس SSH را مجددا راه اندازی کنید:
sudo systemctl restart ssh
پس از اعمال تغییرات بالا، همه لاگینها یا فعالیتهای SSH اکنون در فایل /var/log/auth.log ثبت میشوند. این فایل حاوی اطلاعات زیادی برای نظارت بر ورود و تلاش برای ورود به سیستم لینوکس شما است.
می توانید از دستور cat یا هر ابزار خروجی دیگری برای خواندن محتوای فایل auth.log استفاده کنید:
cat /var/log/auth.log
از grep برای فیلتر کردن ورودی های SSH خاص استفاده کنید. به عنوان مثال، برای فهرست کردن تلاشهای ناموفق برای ورود، میتوانید دستور زیر را اجرا کنید:
sudo grep "Failed" /var/log/auth.log
جدای از مشاهده تلاش های ناموفق برای ورود به سیستم، همچنین ایده خوبی است که به کاربران وارد شده نگاه کنید و موارد مشکوکی را شناسایی کنید. به عنوان مثال، میتوانید کارمندان سابقی که هنوز دسترسی دارند را شناسایی کنید.
4. نظارت بر ورود FTP در لینوکس
FTP یک پروتکل پرکاربرد برای انتقال فایل ها بین یک کلاینت و یک سرور است. برای اینکه بتوانید فایل ها را انتقال دهید باید در سرور احراز هویت شده باشید.
از آنجایی که این سرویس شامل انتقال فایل ها می شود، هرگونه نقض امنیتی می تواند پیامدهای جدی برای حریم خصوصی شما داشته باشد. خوشبختانه، شما به راحتی می توانید ورود به FTP و تمام فعالیت های مرتبط دیگر را با فیلتر کردن “FTP” در فایل /var/log/syslog با استفاده از دستور زیر نظارت کنید:
grep ftp /var/log/syslog
نتیجه گیری
هر مدیر سیستم باید در ایمن سازی سیستم خود فعال باشد. هر از چندگاهی نظارت بر ورود کاربران در لینوکس، بهترین راه برای شناسایی فعالیت های مشکوک است. همچنین می توانید از ابزارهایی مانند fail2ban برای انجام خودکار اقدامات پیشگیرانه از طرف خود استفاده کنید.
بیشتر بخوانید:
