En tant qu'administrateur système, il est important de surveiller régulièrement les connexions des utilisateurs sur un système Linux pour détecter les activités suspectes.
Que vous soyez un administrateur Linux avec des serveurs et plusieurs utilisateurs sous votre surveillance ou un utilisateur Linux régulier, il est toujours bon d'être proactif dans la sécurisation de votre système.
L'un des moyens de sécuriser activement votre système consiste à surveiller les connexions des utilisateurs, en particulier les utilisateurs actuellement connectés et les échecs de connexion ou les tentatives de connexion.
Pourquoi surveiller les connexions sous Linux?
La surveillance des connexions sur votre système Linux est une activité importante pour plusieurs raisons :
- Conformité: La plupart des normes de sécurité informatique, des réglementations et des gouvernements exigent que vous surveilliez les journaux pour vous conformer aux meilleures pratiques du secteur.
- Sécurité: Les journaux de surveillance vous aideront à améliorer la sécurité de vos systèmes car vous avez une visibilité sur les utilisateurs qui accèdent ou tentent d'accéder à votre système. Cela vous permet de prendre des mesures préventives si vous remarquez des activités de connexion indésirables.
- Dépannage: Découvrez pourquoi un utilisateur peut rencontrer des difficultés pour se connecter à votre système.
- Piste d'audit : Les journaux de connexion sont une bonne source d'informations pour les audits de sécurité informatique et les activités connexes.
Il existe quatre principaux types de connexions que vous devez surveiller sur votre système: les connexions réussies, les connexions échouées, les connexions SSH et les connexions FTP. Voyons comment vous pouvez surveiller chacun d'entre eux sous Linux.
1. Utilisation de la dernière commande
dernier est un puissant utilitaire de ligne de commande pour surveiller les connexions précédentes sur votre système, y compris les connexions réussies et échouées. En outre, il affiche également les arrêts, les redémarrages et les déconnexions du système.
Ouvrez simplement votre terminal et exécutez la commande suivante pour afficher toutes les informations de connexion :
dernierVous pouvez utiliser grep pour filtrer des connexions spécifiques. Par exemple, à lister les utilisateurs actuellement connectés, vous pouvez exécuter la commande :
dernier | grep "connecté"Vous pouvez également utiliser le w commande pour afficher les utilisateurs connectés et ce qu'ils font; pour ce faire, entrez simplement w dans l'aérogare.
2. Utilisation de la commande lastlog
Le dernier journal L'utilitaire affiche les informations de connexion de tous les utilisateurs, y compris les utilisateurs standard, les utilisateurs système et les utilisateurs du compte de service.
dernier journal sudoLa sortie contient tous les utilisateurs, affichés dans un format soigné qui montre leur nom d'utilisateur, le port qu'ils utilisent, l'adresse IP d'origine et l'horodatage auquel ils se sont connectés.
Consultez les pages de manuel lastlog à l'aide de la commande dernier journal de l'homme pour en savoir plus sur son utilisation et ses options de commande.
3. Surveillance des connexions SSH sous Linux
L'un des moyens les plus courants d'accéder à distance aux serveurs Linux est via SSH. Si votre PC ou serveur est connecté à Internet, vous devez sécurisez vos connexions SSH (en désactivant les connexions SSH basées sur un mot de passe, par exemple).
La surveillance des connexions SSH vous donnera un bon aperçu de si quelqu'un essaie de forcer brutalement dans votre système.
Par défaut, la journalisation SSH est désactivée sur certains systèmes. Vous pouvez l'activer en modifiant le /etc/ssh/sshd_config déposer. Utilisez l'un de vos éditeurs de texte préférés et décommentez la ligne Informations sur le niveau de journalisation et aussi le modifier pour LogLevel VERBOSE. Il devrait ressembler à ce qui suit après les modifications:
Vous devrez redémarrer le service SSH après avoir effectué cette modification :
sudo systemctl redémarrer sshToutes les connexions ou activités SSH seront désormais enregistrées dans le /var/log/auth.log déposer. Le fichier contient une tonne d'informations pour surveiller les connexions et les tentatives de connexion sur votre système Linux.
Vous pouvez utiliser le chat commande ou tout autre outil de sortie pour lire le contenu de la auth.log déposer:
chat /var/log/auth.logUtilisez grep pour filtrer des connexions SSH spécifiques. Par exemple, pour répertorier les échecs de connexion, vous pouvez exécuter la commande suivante :
sudo grep "Échec" /var/log/auth.logOutre l'affichage des tentatives de connexion infructueuses, il est également judicieux d'examiner les utilisateurs connectés et de détecter s'il y en a des suspects; par exemple, les anciens employés.
4. Surveillance des connexions FTP sous Linux
FTP est un protocole largement utilisé pour transférer des fichiers entre un client et un serveur. Vous devez être authentifié sur le serveur pour pouvoir transférer des fichiers.
Étant donné que le service implique le transfert de fichiers, toute faille de sécurité peut avoir de graves implications pour votre vie privée. Heureusement, vous pouvez facilement surveiller les connexions FTP et toutes les autres activités connexes en filtrant par "FTP" dans le /var/log/syslog fichier à l'aide de la commande suivante :
grep ftp /var/log/syslogSurveiller les connexions sur Linux pour une meilleure sécurité
Chaque administrateur système doit être proactif dans la sécurisation de son système. Surveiller vos connexions de temps en temps est le meilleur moyen de détecter les activités suspectes.
Vous pouvez également utiliser des outils tels que fail2ban pour effectuer automatiquement des mesures préventives en votre nom.
