Материал подготовлен командой Simple-Server для администраторов VPS и выделенных серверов. Команды и пути проверяйте на тестовой машине перед production.
Контроль журналов аутентификации в Ubuntu
Контроль журналов аутентификации в Ubuntu является важным аспектом безопасности. В этой статье разберём несколько методов такого контроля.
Использование команды last
Команда last в Ubuntu может быть использована для получения данных о последних входах в систему. Для этого достаточно открыть терминал и ввести команду last.
Команда last также может быть использована с дополнительными параметрами для уточнения выводимых данных. Например, для вывода списка пользователей, которые вошли в систему в определенный период времени, можно использовать параметры -s и -t. Для вывода информации о конкретном пользователе необходимо указывать имя пользователя после команды. Чтобы ознакомиться со всеми возможными параметрами и остальной информацией о команде, вводим в строку терминала:
Использование команды last имеет несколько преимуществ:
Использование команды lastlog
Команда lastlog в Ubuntu используется для просмотра журналов последней успешной аутентификации пользователей. Она выводит информацию о каждом пользователе, такую как дата и время последней аутентификации, IP-адрес, с которого произведена аутентификация и другую полезную информацию.
Ее синтаксис выглядит следующим образом:
Все возможные параметры можно изучить, вводя в терминал:
Команда lastlog будет выполняться некоторое время в зависимости от количества пользователей, зарегистрированных в компьютерной системе. После выполнения команды будет выведен список всех пользователей и информация о последней успешной аутентификации.
При интерпретации результатов команды lastlog важно обратить внимание на дату и время последней успешной аутентификации каждого пользователя. Если дата или время слишком давние, это может указывать на уязвимость в системе или на то, что пользователь не использует свой аккаунт.
Кроме того, результаты команды lastlog могут быть полезны при поиске пользователей, которые недавно проявляли активность в системе. Например, если замечена подозрительная активность в системе, возможно использовать команду lastlog, чтобы выявить пользователей, которые могут быть связаны с этой активностью.
Использование утилиты journalctl
Утилита journalctl позволяет просматривать и анализировать журналы аутентификации в Ubuntu. Она позволяет сортировать записи по времени, уровню ошибок и другим параметрам. Чтобы просмотреть записи журнала, выполните следующую команду в терминале:
Эта команда покажет все записи, связанные со службой SSH. Вы можете использовать другие параметры для поиска конкретных записей.
Чтобы ознакомиться с утилитой более детально и изучить все возможные параметры, используем команду:
Использование утилиты Fail2Ban
Для установки Fail2Ban выполните следующие команды в терминале:
sudo apt update
sudo apt install fail2banПосле установки Fail2Ban настройте его для работы с вашими журналами аутентификации. Файл настройки находится по адресу /etc/fail2ban/jail.conf. Примеры некоторых настроек, которые пользователь может выполнить приведены ниже:
- выбрать какие журналы аутентификации следует использовать;
- настроить частоту проверок на наличие неудачных попыток входа в Ubuntu;
- указать период блокировки, который следует установить для IP-адресов, которые были заблокированы.
Настройка системы оповещения о неудачных попытках входа
Система оповещения о неудачных попытках входа позволяет быстро узнавать о попытках взлома системы и принимать меры по ее защите. Для этого можно использовать утилиту logwatch, которая анализирует журналы системы и отправляет отчеты о неудачных попытках входа на заданный адрес электронной почты. Чтобы установить logwatch, выполните следующую команду в терминале:
sudo apt-get install logwatchПосле установки logwatch настройте его для отправки отчетов о неудачных попытках входа на заданный адрес электронной почты. Файл настройки находится по адресу /usr/share/logwatch/default.conf/logwatch.conf.
Анализ журналов аутентификации с помощью инструментов мониторинга
Инструменты мониторинга могут помочь вам анализировать журналы аутентификации более эффективно. Они могут автоматически оповещать вас о неудачных попытках входа в систему Ubuntu, проводить анализ записей в режиме реального времени и создавать отчеты о наиболее важных событиях. Рассмотрим ниже некоторые из самых популярных инструментов мониторинга.
Nagios — это один из наиболее распространенных инструментов мониторинга, который позволяет отслеживать работу системы, включая журналы аутентификации. Nagios может анализировать последнее в режиме реального времени и создавать отчеты о важных событиях, таких как неудачные попытки входа. Также возможно настроить уведомления по электронной почте или SMS в случае обнаружения проблем.
Zabbix — это еще один популярный инструмент мониторинга системы, который предоставляет ряд возможностей, включая сбор информации о неудачных попытках входа. Zabbix также может отправлять уведомления по электронной почте или SMS в случае обнаружения проблем.
Splunk — это мощный инструмент мониторинга, который может анализировать журналы аутентификации в режиме реального времени и создавать отчеты о важных событиях. Splunk позволяет быстро и эффективно находить проблемы и принимать меры по их устранению. Splunk также может отправлять уведомления по электронной почте или SMS, как это делают два предыдущих инструмента. .
Контроль журналов аутентификации является важным аспектом безопасности в Ubuntu. В этой статье мы рассмотрели несколько способов контроля, включая использование команд last и lastlog, а также утилит journalctl, logwatch и Fail2Ban. Выбор определенного метода зависит от требований безопасности и уровня доступности для конечных пользователей.
Убедитесь, что настройка контроля журналов аутентификации выполнена в соответствии с требованиями безопасности организации, а также следите за записями регулярно, чтобы обнаруживать возможные несанкционированные попытки доступа к системе.
Нужен сервер для практики? Закажите VPS на Simple-Server — root-доступ, NVMe, DDoS-защита и поддержка 24/7.