Sådan overvåges systemets godkendelseslogfiler på Ubuntu
Introduktion
Godkendelsenslogfiler er afgørende for at sikre systemsikkerheden og overvåge brugeraktiviteter. På Ubuntu-systemer kan disse logfiler bruges til at identificere mistænkelig adfærd, såsom uautoriserede loginforsøg, mislykkede godkendelsestilløb og ændringer i brugeradgang. Ved at overvåge godkendelseslogfilerne kan systemadministratorer proaktivt opdage og forhindre potentielle sikkerhedstrusler.
Denne guide vil forklare, hvordan man overvåger systemets godkendelseslogfiler på Ubuntu ved hjælp af indbyggede værktøjer og eksterne værktøjer. Vi vil dække grundlæggende emner såsom at finde godkendelseslogfiler, filtrere og analysere logdata samt konfigurere overvågningsløsninger for proaktiv overvågning.
Find godkendelseslogfiler
På Ubuntu-systemer er de primære godkendelseslogfiler placeret i følgende stier:
* /var/log/auth.log
: indeholder alle godkendelsesrelaterede hændelser, herunder login, logout og mislykkede loginforsøg.
* /var/log/secure
: registrerer hændelser relateret til sikkerhedstjenester, såsom SSH-loginforsøg og privilegieeskalationer.
For at se indholdet af disse logfiler, kan du bruge kommandoen cat
efterfulgt af logfilens sti:
cat /var/log/auth.log
Filtrer og analyser logdata
Godkendelseslogfiler kan indeholde en stor mængde data, så det er ofte nødvendigt at filtrere og analysere logdata for at fokusere på specifikke hændelser eller brugere. Du kan bruge kommandoen grep
til at filtrere logdata efter en bestemt streng:
grep "Failed password" /var/log/auth.log
Dette vil udskrive alle linjer, der indeholder strengen “Failed password” i /var/log/auth.log
. Du kan kombinere flere søgestrenge ved at bruge kommandoen &&
:
grep "Failed password" /var/log/auth.log | grep "root"
Dette vil udskrive alle linjer, der indeholder strengen “Failed password” i /var/log/auth.log
og også indeholder strengen “root”.
Konfigurer overvågningsløsninger
For proaktiv overvågning af godkendelseslogfiler kan du bruge en logadministrationsløsning som Logwatch* eller *rsyslog.
Logwatch er et værktøj, der automatisk genererer daglige og ugentlige rapporter over syslog-hændelser, herunder godkendelsesdata. Du kan konfigurere Logwatch til at sende rapporter via e-mail eller gemme dem i en lokal mappe. For at installere Logwatch på Ubuntu, kan du køre:
sudo apt install logwatch
rsyslog er en systemlogdæmon, der giver avanceret logstyring og videresendelsessupport. Du kan konfigurere rsyslog til at videresende godkendelseslogfiler til en ekstern logserver, hvor de kan analyseres og overvåges i realtid. For at konfigurere rsyslog til at videresende godkendelseslogfiler, kan du føje følgende linjer til /etc/rsyslog.conf
:
local4.* @@remote-server-address:514
Erstat remote-server-address
med IP-adressen eller hostnamet på den eksterne logserver.
Konklusion
Overvågning af systemets godkendelseslogfiler er afgørende for at sikre systemsikkerheden og opdage potentielle trusler. Ved at bruge indbyggede værktøjer og eksterne løsninger kan systemadministratorer effektivt overvåge godkendelseslogfiler, identificere mistænkelig adfærd og træffe proaktive foranstaltninger for at beskytte deres systemer. Regelmæssig gennemgang og analyse af godkendelseslogfiler er en vigtig praksis for at opretholde systemsikkerheden og sikre integriteten af dine data.
Ofte stillede spørgsmål (FAQs)
1. Hvad er forskellen mellem /var/log/auth.log
og /var/log/secure
?
– /var/log/auth.log
registrerer alle godkendelsesrelaterede hændelser, mens /var/log/secure
registrerer hændelser relateret til sikkerhedstjenester, såsom SSH-loginforsøg og privilegieeskalationer.
2. Hvordan kan jeg overvåge godkendelseslogfiler i realtid?
– Du kan bruge en logadministrationsløsning som Logwatch eller rsyslog for at videresende godkendelseslogfiler til en ekstern logserver, hvor de kan analyseres og overvåges i realtid.
3. Hvilke typer af angreb kan detekteres ved overvågning af godkendelseslogfiler?
– Overvågning af godkendelseslogfiler kan hjælpe med at detektere brute force-angreb, dictionary-angreb og phishing-forsøg.
4. Hvordan kan jeg filtrere godkendelseslogfiler efter en bestemt bruger?
– Du kan bruge kommandoen grep
efterfulgt af brugernavnet til at filtrere godkendelseslogfiler efter en bestemt bruger:
grep "username" /var/log/auth.log
5. Hvad skal jeg gøre, hvis jeg finder mistænkelig aktivitet i godkendelseslogfilerne?
– Hvis du finder mistænkelig aktivitet i godkendelseslogfilerne, skal du undersøge aktiviteten yderligere og træffe de nødvendige foranstaltninger for at afhjælpe situationen. Dette kan omfatte at nulstille brugeradgangskoder, deaktivere brugerkonti og implementere yderligere sikkerhedsforanstaltninger.
6. Er der nogen værktøjer tilgængelige til at hjælpe med overvågning af godkendelseslogfiler?
– Ja, der er flere værktøjer tilgængelige, såsom Logwatch, rsyslog og ELK Stack (Elasticsearch, Logstash og Kibana), der kan hjælpe med at overvåge og analysere godkendelseslogfiler på en effektiv måde.
7. Hvor ofte skal jeg overvåge godkendelseslogfiler?
– Frekvensen for overvågning af godkendelseslogfiler afhænger af systemtype, kritiskhed af data og sikkerhedspolitikker. Det anbefales at overvåge godkendelseslogfiler regelmæssigt, f.eks. dagligt eller ugentligt.
8. Hvad kan jeg gøre for at forbedre sikkerheden ved overvågning af godkendelseslogfiler?
– Brug multifaktorgodkendelse for at tilføje et ekstra lag af sikkerhed til godkendelser. Aktiver udløbsdatoer for adgangskoder for at tvinge brugere til at ændre deres adgangskoder regelmæssigt. Implementer adgangsstyring med mindst privilegier for at begrænse brugernes adgang til de ressourcer, de har brug for.