Как контролировать журналы аутентификации системы в Ubuntu

Журналы аутентификации системы — это важнейший компонент безопасности сервера. Они содержат информацию о том, кто и когда пытался войти в систему, а также о результатах этих попыток. В Ubuntu журналы аутентификации можно контролировать и настраивать для повышения безопасности системы. 

Журналирование аутентификации в Ubuntu осуществляется с помощью системного журнала (systemd-journal), который является централизованным местом для хранения всех системных сообщений. В Ubuntu журналы аутентификации хранятся в файле /var/log/auth.log.

Контроль журналов аутентификации в Ubuntu

Контроль журналов аутентификации в Ubuntu является важным аспектом безопасности. В этой статье мы рассмотрим несколько методов такого контроля.

Использование команды last

Команда last в Ubuntu может быть использована для получения данных о последних входах в систему. Для этого достаточно открыть терминал и ввести команду last. 

Команда last также может быть использована с дополнительными параметрами для уточнения выводимых данных. Например, для вывода списка пользователей, которые вошли в систему в определенный период времени, можно использовать параметры -s и -t. Для вывода информации о конкретном пользователе необходимо указывать имя пользователя после команды. Чтобы ознакомиться со всеми возможными параметрами и остальной информацией о команде, вводим в строку терминала:

man last 

Использование команды last имеет несколько преимуществ:

• Контроль доступа к системе: команда last позволяет анализировать журналы аутентификации системы, что позволяет контролировать доступ к системе и мониторить действия пользователей.
• Обнаружение несанкционированного доступа: с помощью команды last можно обнаружить несанкционированный доступ к системе, например, если кто-то попытался войти в систему под ложным именем пользователя.
• Улучшение безопасности: анализ журналов аутентификации системы позволяет выявить слабые места в системе безопасности и принять меры для их устранения.

Использование команды lastlog

Команда lastlog в Ubuntu используется для просмотра журналов последней успешной аутентификации пользователей. Она выводит информацию о каждом пользователе, такую как дата и время последней аутентификации, IP-адрес, с которого произведена аутентификация и другую полезную информацию.

Ее синтаксис выглядит следующим образом:

lastlog параметры

Все возможные параметры можно изучить, вводя в терминал:

man lastlog

Команда lastlog будет выполняться некоторое время в зависимости от количества пользователей, зарегистрированных в компьютерной системе. После выполнения команды будет выведен список всех пользователей и информация о последней успешной аутентификации.

При интерпретации результатов команды lastlog важно обратить внимание на дату и время последней успешной аутентификации каждого пользователя. Если дата или время слишком давние, это может указывать на уязвимость в системе или на то, что пользователь не использует свой аккаунт.

Кроме того, результаты команды lastlog могут быть полезны при поиске пользователей, которые недавно проявляли активность в системе. Например, если замечена подозрительная активность в системе, возможно использовать команду lastlog, чтобы выявить пользователей, которые могут быть связаны с этой активностью.

Использование утилиты journalctl

Утилита journalctl позволяет просматривать и анализировать журналы аутентификации в Ubuntu. Она позволяет сортировать записи по времени, уровню ошибок и другим параметрам. Чтобы просмотреть записи журнала, выполните следующую команду в терминале:

sudo journalctl -u ssh

Эта команда покажет все записи, связанные со службой SSH. Вы можете использовать другие параметры для поиска конкретных записей.

Чтобы ознакомиться с утилитой более детально и изучить все возможные параметры, используем команду:

man journalctl

Использование утилиты Fail2Ban

Утилита Fail2Ban — это программа защиты от атак на основе журналов. Fail2Ban может анализировать журналы аутентификации и блокировать IP-адреса, которые пытаются войти в систему с неверными учетными данными.

Для установки Fail2Ban выполните следующие команды в терминале:

sudo apt update
sudo apt install fail2ban

После установки Fail2Ban настройте его для работы с вашими журналами аутентификации. Файл настройки находится по адресу /etc/fail2ban/jail.conf. Примеры некоторых настроек, которые пользователь может выполнить приведены ниже:

• выбрать какие журналы аутентификации следует использовать;
• настроить частоту проверок на наличие неудачных попыток входа в Ubuntu;
• указать период блокировки, который следует установить для IP-адресов, которые были заблокированы.

Настройка системы оповещения о неудачных попытках входа

Система оповещения о неудачных попытках входа позволяет быстро узнавать о попытках взлома системы и принимать меры по ее защите. Для этого можно использовать утилиту logwatch, которая анализирует журналы системы и отправляет отчеты о неудачных попытках входа на заданный адрес электронной почты. Чтобы установить logwatch, выполните следующую команду в терминале:

sudo apt-get install logwatch

После установки logwatch настройте его для отправки отчетов о неудачных попытках входа на заданный адрес электронной почты. Файл настройки находится по адресу /usr/share/logwatch/default.conf/logwatch.conf.

Анализ журналов аутентификации с помощью инструментов мониторинга

Инструменты мониторинга могут помочь вам анализировать журналы аутентификации более эффективно. Они могут автоматически оповещать вас о неудачных попытках входа в систему Ubuntu, проводить анализ записей в режиме реального времени и создавать отчеты о наиболее важных событиях. Рассмотрим ниже некоторые из самых популярных инструментов мониторинга.

• Nagios

Nagios — это один из наиболее распространенных инструментов мониторинга, который позволяет отслеживать работу системы, включая журналы аутентификации. Nagios может анализировать последнее в режиме реального времени и создавать отчеты о важных событиях, таких как неудачные попытки входа. Также возможно настроить уведомления по электронной почте или SMS в случае обнаружения проблем.

• Zabbix

Zabbix — это еще один популярный инструмент мониторинга системы, который предоставляет ряд возможностей, включая сбор информации о неудачных попытках входа. Zabbix также может отправлять уведомления по электронной почте или SMS в случае обнаружения проблем.

• Splunk

Splunk — это мощный инструмент мониторинга, который может анализировать журналы аутентификации в режиме реального времени и создавать отчеты о важных событиях. Splunk позволяет быстро и эффективно находить проблемы и принимать меры по их устранению. Splunk также может отправлять уведомления по электронной почте или SMS, как это делают два предыдущих инструмента. .

Заключение

Контроль журналов аутентификации является важным аспектом безопасности в Ubuntu. В этой статье мы рассмотрели несколько способов контроля, включая использование команд last и lastlog, а также утилит journalctl, logwatch и Fail2Ban. Выбор определенного метода зависит от требований безопасности и уровня доступности для конечных пользователей.

Убедитесь, что настройка контроля журналов аутентификации выполнена в соответствии с требованиями безопасности организации, а также следите за записями регулярно, чтобы обнаруживать возможные несанкционированные попытки доступа к системе.