Bir sistem yöneticisi olarak, bir Linux sistemindeki kullanıcı oturumlarını şüpheli etkinliklere karşı düzenli olarak izlemek önemlidir.

İster gözetiminiz altında sunucuları ve birden fazla kullanıcısı olan bir Linux yöneticisi olun, ister normal bir Linux kullanıcısı olun, sisteminizin güvenliğini sağlamada proaktif olmak her zaman iyidir.

Sisteminizi aktif olarak güvenli hale getirmenin yollarından biri, kullanıcı oturumlarını, özellikle şu anda oturum açmış kullanıcıları ve başarısız oturum açma veya oturum açma denemelerini izlemektir.

Neden Linux'ta Girişleri İzleyin?

Linux sisteminizde oturum açma bilgilerini izlemek birkaç nedenden dolayı önemli bir etkinliktir:

  • Uyma: Çoğu BT güvenlik standardı, düzenlemesi ve hükümeti, günlükleri en iyi endüstri uygulamalarıyla uyumlu olacak şekilde izlemenizi gerektirir.
  • Güvenlik: İzleme günlükleri, sisteminize erişen veya erişmeye çalışan kullanıcılar hakkında görünürlüğünüz olduğundan, sistemlerinizdeki güvenliği artırmanıza yardımcı olacaktır. Bu, istenmeyen oturum açma etkinliklerini fark etmeniz durumunda önleyici tedbirler almanıza olanak tanır.
    instagram viewer
  • Sorun giderme: Bir kullanıcının sisteminize giriş yapmakta neden sorun yaşadığını öğrenin.
  • Denetim izi: Oturum açma günlükleri, BT güvenlik denetimleri ve ilgili etkinlikler için iyi bir bilgi kaynağıdır.

Sisteminizde izlemeniz gereken dört ana oturum açma türü vardır: başarılı oturum açma, başarısız oturum açma, SSH oturum açma ve FTP oturum açma. Bunların her birini Linux'ta nasıl izleyebileceğinize bakalım.

1. Son Komutu Kullanma

son başarılı ve başarısız oturumlar da dahil olmak üzere sisteminizdeki önceki oturumları izlemek için güçlü bir komut satırı yardımcı programıdır. Ayrıca, sistem kapatmalarını, yeniden başlatmalarını ve oturum kapatmalarını da görüntüler.

Terminalinizi açın ve tüm oturum açma bilgilerini görüntülemek için aşağıdaki komutu çalıştırın:

son

Belirli girişleri filtrelemek için grep'i kullanabilirsiniz. Örneğin, mevcut oturum açmış kullanıcıları listele, şu komutu çalıştırabilirsiniz:

son | grep "giriş yaptı"

Şunu da kullanabilirsiniz: w oturum açmış kullanıcıları ve ne yaptıklarını gösteren komut; bunu yapmak için, sadece girin w terminalde.

2. lastlog Komutunu Kullanma

bu son günlük yardımcı program, standart kullanıcılar, sistem kullanıcıları ve hizmet hesabı kullanıcıları dahil olmak üzere tüm kullanıcıların oturum açma ayrıntılarını görüntüler.

sudo son günlüğü

Çıktı, kullanıcı adlarını, kullandıkları bağlantı noktasını, kaynak IP adresini ve oturum açtıkları zaman damgasını gösteren düzgün bir biçimde görüntülenen tüm kullanıcıları içerir.

Komutu kullanarak lastlog man sayfalarına göz atın adam son günlüğü kullanımı ve komut seçenekleri hakkında daha fazla bilgi edinmek için.

3. Linux'ta SSH Oturum Açmalarını İzleme

Linux sunucularına uzaktan erişim sağlamanın en yaygın yollarından biri SSH kullanmaktır. Bilgisayarınız veya sunucunuz internete bağlıysa, SSH bağlantılarınızı güvenli hale getirin (örneğin, parola tabanlı SSH oturumlarını devre dışı bırakarak).

SSH girişlerini izlemek, herhangi birinin sisteminize kaba kuvvetle girmeye çalışıp çalışmadığına dair size iyi bir genel bakış sağlayacaktır.

Varsayılan olarak, bazı sistemlerde SSH günlük kaydı devre dışıdır. düzenleyerek etkinleştirebilirsiniz. /etc/ssh/sshd_config dosya. En sevdiğiniz metin editörlerinden herhangi birini kullanın ve satırın yorumunu kaldırın LogLevel BİLGİSİ ve ayrıca düzenleyin LogLevel AYRINTILI. Değişikliklerden sonra aşağıdakine benzer görünmelidir:

Bu değişikliği yaptıktan sonra SSH hizmetini yeniden başlatmanız gerekecek:

sudo systemctl ssh'yi yeniden başlat

Tüm SSH girişleri veya etkinlikleri artık şuraya kaydedilecek: /var/log/auth.log dosya. Dosya, Linux sisteminizde girişleri ve giriş denemelerini izlemek için tonlarca bilgi içerir.

kullanabilirsiniz kedi içeriğini okumak için komut veya başka bir çıktı aracı auth.log dosya:

cat /var/log/auth.log

Belirli SSH girişlerini filtrelemek için grep kullanın. Örneğin, başarısız oturum açma girişimlerini listelemek için aşağıdaki komutu çalıştırabilirsiniz:

sudo grep "Başarısız" /var/log/auth.log

Başarısız giriş denemelerini görüntülemenin yanı sıra, giriş yapmış kullanıcılara bakmak ve şüpheli olup olmadığını tespit etmek de iyi bir fikirdir; örneğin, eski çalışanlar.

4. Linux'ta FTP Oturum Açmalarını İzleme

FTP, istemci ve sunucu arasında dosya aktarımı için yaygın olarak kullanılan bir protokoldür. Dosyaları aktarabilmek için sunucuda kimliğinizin doğrulanmış olması gerekir.

Hizmet dosya aktarımını içerdiğinden, herhangi bir güvenlik ihlalinin gizliliğiniz üzerinde ciddi etkileri olabilir. Neyse ki, FTP girişlerini ve diğer tüm ilgili etkinlikleri, "FTP" için filtre uygulayarak kolayca izleyebilirsiniz. /var/log/syslog aşağıdaki komutu kullanarak dosya:

grep ftp /var/log/syslog

Daha İyi Güvenlik İçin Linux'ta Oturum Açmaları İzleyin

Her sistem yöneticisi, sistemlerinin güvenliğini sağlamada proaktif olmalıdır. Oturum açma bilgilerinizi zaman zaman izlemek, şüpheli etkinlikleri tespit etmenin en iyi yoludur.

Sizin adınıza önleyici tedbirleri otomatik olarak gerçekleştirmek için fail2ban gibi araçları da kullanabilirsiniz.