Como administrador del sistema, es importante monitorear periódicamente los inicios de sesión de los usuarios en un sistema Linux en busca de actividades sospechosas.
Ya sea que sea un administrador de Linux con servidores y varios usuarios bajo su supervisión o un usuario habitual de Linux, siempre es bueno ser proactivo para proteger su sistema.
Una de las formas en que puede proteger activamente su sistema es monitorear los inicios de sesión de los usuarios, especialmente los usuarios actualmente conectados y los inicios de sesión fallidos o los intentos de inicio de sesión.
¿Por qué monitorear los inicios de sesión en Linux?
Supervisar los inicios de sesión en su sistema Linux es una actividad importante por varias razones:
- Cumplimiento: La mayoría de los estándares, regulaciones y gobiernos de seguridad de TI exigen que supervise los registros para cumplir con las mejores prácticas de la industria.
- Seguridad: Los registros de monitoreo lo ayudarán a mejorar la seguridad en sus sistemas porque tiene visibilidad de los usuarios que acceden o intentan acceder a su sistema. Esto le permite tomar medidas preventivas si observa actividades de inicio de sesión no deseadas.
- Solución de problemas: Descubra por qué un usuario puede tener problemas para iniciar sesión en su sistema.
- Pista de auditoría: Los registros de inicio de sesión son una buena fuente de información para auditorías de seguridad de TI y actividades relacionadas.
Hay cuatro tipos principales de inicios de sesión que debe monitorear en su sistema: inicios de sesión exitosos, inicios de sesión fallidos, inicios de sesión SSH e inicios de sesión FTP. Veamos cómo puede monitorear cada uno de estos en Linux.
1. Usando el último comando
último es una poderosa utilidad de línea de comandos para monitorear inicios de sesión anteriores en su sistema, incluidos inicios de sesión exitosos y fallidos. Además, también muestra apagados, reinicios y cierres de sesión del sistema.
Simplemente abra su terminal y ejecute el siguiente comando para mostrar toda la información de inicio de sesión:
últimoPuede usar grep para filtrar inicios de sesión específicos. por ejemplo, a enumerar los usuarios registrados actualmente, puede ejecutar el comando:
último | grep "iniciar sesión"También puede utilizar el w comando para mostrar los usuarios registrados y lo que están haciendo; para hacerlo, simplemente ingrese w en la terminal
2. Usando el comando lastlog
El último registro La utilidad muestra los detalles de inicio de sesión de todos los usuarios, incluidos los usuarios estándar, los usuarios del sistema y los usuarios de la cuenta de servicio.
sudo lastlogEl resultado contiene todos los usuarios, que se muestran en un formato ordenado que muestra su nombre de usuario, el puerto que están utilizando, la dirección IP de origen y la marca de tiempo en la que iniciaron sesión.
Echa un vistazo a las páginas de manual de lastlog usando el comando último registro del hombre para obtener más información sobre su uso y opciones de comando.
3. Monitoreo de inicios de sesión SSH en Linux
Una de las formas más comunes de obtener acceso remoto a servidores Linux es a través de SSH. Si su PC o servidor está conectado a Internet, debe asegure sus conexiones SSH (deshabilitando los inicios de sesión SSH basados en contraseña, por ejemplo).
El monitoreo de los inicios de sesión de SSH le dará una buena visión general de si alguien está tratando de usar la fuerza bruta en su sistema.
De forma predeterminada, el registro SSH está deshabilitado en algunos sistemas. Puede habilitarlo editando el /etc/ssh/sshd_config archivo. Use cualquiera de sus editores de texto favoritos y descomente la línea INFORMACIÓN de nivel de registro y también editarlo para LogLevel VERBOSO. Debería tener un aspecto similar al siguiente después de los cambios:
Deberá reiniciar el servicio SSH después de realizar este cambio:
sudo systemctl reiniciar sshTodos los inicios de sesión o actividades de SSH ahora se registrarán en el /var/log/auth.log archivo. El archivo contiene una tonelada de información para monitorear inicios de sesión e intentos de inicio de sesión en su sistema Linux.
Puedes usar el gato comando o cualquier otra herramienta de salida para leer el contenido del auth.log archivo:
gato /var/log/auth.logUse grep para filtrar por inicios de sesión SSH específicos. Por ejemplo, para enumerar los intentos de inicio de sesión fallidos, puede ejecutar el siguiente comando:
sudo grep "Error" /var/log/auth.logAparte de ver los intentos de inicio de sesión fallidos, también es una buena idea mirar a los usuarios que han iniciado sesión y detectar si hay alguno sospechoso; por ejemplo, ex empleados.
4. Supervisión de inicios de sesión de FTP en Linux
FTP es un protocolo ampliamente utilizado para transferir archivos entre un cliente y un servidor. Debe estar autenticado en el servidor para poder transferir archivos.
Dado que el servicio implica la transferencia de archivos, cualquier violación de seguridad puede tener serias implicaciones para su privacidad. Afortunadamente, puede controlar fácilmente los inicios de sesión de FTP y todas las demás actividades relacionadas filtrando "FTP" en el /var/log/syslog archivo usando el siguiente comando:
grep ftp /var/log/syslogMonitoree los inicios de sesión en Linux para una mejor seguridad
Cada administrador del sistema debe ser proactivo en la protección de su sistema. Supervisar sus inicios de sesión de vez en cuando es la mejor manera de detectar actividades sospechosas.
También puede utilizar herramientas como fail2ban para llevar a cabo automáticamente medidas preventivas en su nombre.
