بصفتك مسؤول النظام ، من المهم مراقبة عمليات تسجيل دخول المستخدم بانتظام على نظام Linux بحثًا عن الأنشطة المشبوهة.

سواء كنت مسؤول Linux ولديك خوادم ومستخدمين متعددين تحت ساعتك أو مستخدم Linux عادي ، فمن الجيد دائمًا أن تكون استباقيًا في تأمين نظامك.

إحدى الطرق التي يمكنك من خلالها تأمين نظامك بشكل نشط هي مراقبة عمليات تسجيل دخول المستخدمين ، خاصةً المستخدمين المسجلين حاليًا وعمليات تسجيل الدخول الفاشلة أو محاولات تسجيل الدخول.

لماذا تراقب عمليات تسجيل الدخول على Linux؟

تعد مراقبة عمليات تسجيل الدخول على نظام Linux نشاطًا مهمًا لعدة أسباب:

  • امتثال: تتطلب معظم معايير ولوائح وحكومات أمن تكنولوجيا المعلومات أن تراقب السجلات لتتوافق مع أفضل ممارسات الصناعة.
  • حماية: ستساعدك سجلات المراقبة على تحسين الأمان على أنظمتك لأن لديك رؤية للمستخدمين الذين يصلون إلى نظامك أو يحاولون الوصول إليه. يتيح لك ذلك اتخاذ تدابير وقائية إذا لاحظت أنشطة تسجيل دخول غير مرغوب فيها.
  • استكشاف الأخطاء وإصلاحها: اكتشف لماذا قد يواجه المستخدم مشكلة في تسجيل الدخول إلى نظامك.
  • درب التدقيق: تعد سجلات تسجيل الدخول مصدرًا جيدًا للمعلومات لعمليات تدقيق أمن تكنولوجيا المعلومات والأنشطة ذات الصلة.
instagram viewer

هناك أربعة أنواع رئيسية من عمليات تسجيل الدخول التي يجب عليك مراقبتها على نظامك: عمليات تسجيل الدخول الناجحة وعمليات تسجيل الدخول الفاشلة وتسجيلات SSH وتسجيلات FTP. دعونا نلقي نظرة على كيفية مراقبة كل من هؤلاء على Linux.

1. باستخدام الأمر الأخير

آخر هي أداة مساعدة قوية لسطر الأوامر لمراقبة عمليات تسجيل الدخول السابقة على نظامك ، بما في ذلك عمليات تسجيل الدخول الناجحة والفاشلة. بالإضافة إلى ذلك ، فإنه يعرض أيضًا عمليات إيقاف تشغيل النظام وإعادة التشغيل وعمليات تسجيل الخروج.

ما عليك سوى فتح الجهاز وتشغيل الأمر التالي لعرض جميع معلومات تسجيل الدخول:

آخر

يمكنك استخدام grep لتصفية عمليات تسجيل دخول معينة. على سبيل المثال ، ل قائمة بالمستخدمين المسجلين حاليًا، يمكنك تشغيل الأمر:

آخر | grep "تسجيل الدخول"

يمكنك أيضًا استخدام ملف ث أمر لإظهار المستخدمين الذين قاموا بتسجيل الدخول وماذا يفعلون ؛ للقيام بذلك ، ما عليك سوى الدخول ث في المحطة.

2. استخدام الأمر lastlog

ال lastlog تعرض الأداة المساعدة تفاصيل تسجيل الدخول لجميع المستخدمين ، بما في ذلك المستخدمين القياسيين ومستخدمي النظام ومستخدمي حساب الخدمة.

sudo lastlog

يحتوي الإخراج على جميع المستخدمين ، معروضًا بتنسيق أنيق يُظهر اسم المستخدم الخاص بهم ، والمنفذ الذي يستخدمونه ، وعنوان IP الأصلي ، والطابع الزمني الذي قاموا بتسجيل الدخول فيه.

تحقق من صفحات الرجل الأخيرة باستخدام الأمر الرجل الأخير لمعرفة المزيد حول خيارات الاستخدام والأوامر الخاصة به.

3. مراقبة عمليات تسجيل الدخول عبر SSH على Linux

يعد SSH أحد أكثر الطرق شيوعًا للوصول عن بُعد إلى خوادم Linux. إذا كان جهاز الكمبيوتر الخاص بك أو الخادم متصلاً بالإنترنت ، فيجب عليك ذلك تأمين اتصالات SSH الخاصة بك (عن طريق تعطيل عمليات تسجيل الدخول عبر SSH المستندة إلى كلمة المرور ، على سبيل المثال).

ستمنحك مراقبة عمليات تسجيل الدخول عبر SSH نظرة عامة جيدة على ما إذا كان أي شخص يحاول استخدام القوة الغاشمة في نظامك.

افتراضيًا ، يتم تعطيل تسجيل SSH في بعض الأنظمة. يمكنك تمكينه عن طريق تحرير ملف /etc/ssh/sshd_config ملف. استخدم أيًا من برامج تحرير النصوص المفضلة لديك وأزل التعليق عن السطر معلومات مستوى السجل وتحريره أيضًا إلى LogLevel VERBOSE. يجب أن يبدو مشابهًا لما يلي بعد التغييرات:

ستحتاج إلى إعادة تشغيل خدمة SSH بعد إجراء هذا التغيير:

إعادة تشغيل sudo systemctl ssh

سيتم الآن تسجيل جميع عمليات تسجيل الدخول أو الأنشطة عبر SSH في ملف /var/log/auth.log ملف. يحتوي الملف على الكثير من المعلومات لمراقبة عمليات تسجيل الدخول ومحاولات تسجيل الدخول على نظام Linux الخاص بك.

يمكنك استخدام ال قطة الأمر أو أي أداة إخراج أخرى لقراءة محتوى ملف المصادقة ملف:

القط /var/log/auth.log

استخدم grep لتصفية عمليات تسجيل دخول SSH محددة. على سبيل المثال ، لسرد محاولات تسجيل الدخول الفاشلة ، يمكنك تشغيل الأمر التالي:

sudo grep "فشل" /var/log/auth.log

بصرف النظر عن عرض محاولات تسجيل الدخول الفاشلة ، من الجيد أيضًا إلقاء نظرة على المستخدمين الذين قاموا بتسجيل الدخول واكتشاف ما إذا كانت هناك أي محاولات مشبوهة ؛ على سبيل المثال ، الموظفين السابقين.

4. مراقبة FTP Logins على Linux

FTP هو بروتوكول يستخدم على نطاق واسع لنقل الملفات بين العميل والخادم. يجب أن تتم مصادقتك على الخادم لتتمكن من نقل الملفات.

نظرًا لأن الخدمة تتضمن نقل الملفات ، فإن أي انتهاكات أمنية يمكن أن يكون لها آثار خطيرة على خصوصيتك. لحسن الحظ ، يمكنك بسهولة مراقبة عمليات تسجيل الدخول إلى FTP وجميع الأنشطة الأخرى ذات الصلة عن طريق تصفية "FTP" في ملف /var/log/syslog ملف باستخدام الأمر التالي:

grep ftp / var / log / syslog

مراقبة عمليات تسجيل الدخول على Linux لتحسين الأمان

يجب أن يكون كل مسؤول نظام استباقيًا في تأمين نظامه. تعد مراقبة عمليات تسجيل الدخول الخاصة بك من وقت لآخر هي أفضل طريقة لاكتشاف أي نشاط مشبوه.

يمكنك أيضًا استخدام أدوات مثل fail2ban لتنفيذ الإجراءات الوقائية نيابةً عنك تلقائيًا.