Innehållsförteckning
Hur man övervakar systemets autentiseringsloggar på Ubuntu
Autentiseringsloggar är avgörande för att upptäcka och felsöka obehörig åtkomst till ditt Ubuntu-system. Genom att övervaka dessa loggar kan du identifiera misstänkta aktiviteter, undersöka säkerhetsincidenter och säkerställa efterlevnad av regelkraven. Den här omfattande guiden kommer att visa dig de bästa metoderna för att övervaka autentiseringsloggar på Ubuntu för att förbättra din systemsäkerhet.
Förstå autentiseringsloggar
Autentiseringsloggar registrerar alla försök att logga in på ditt system, inklusive både framgångsrika och misslyckade försök. De innehåller viktig information som:
– Användarnamn/användar-ID för den som försöker logga in
– Tidpunkt för inloggningsförsöket
– Resultat av inloggningsförsöket (lyckat/misslyckat)
– IP-adress för det system som inloggningsförsöket gjordes från
– Typ av inloggningsmetod som användes (t.ex. lösenord, nyckelbaserad autentisering, tvåfaktorsautentisering)
Verktyg för att övervaka autentiseringsloggar
Flera verktyg är tillgängliga för att övervaka autentiseringsloggar på Ubuntu:
– Auth.log: Den primära autentiseringsloggen som registrerar alla inloggningsförsök till systemet.
– Secure Shell (SSH): Ett kraftfullt kommandoradsverktyg som kan användas för att ansluta till och övervaka fjärrsystem och deras autentiseringsloggar.
– Logwatch: Ett automatiserat loggövervakningsverktyg som kan konfigurera e-postaviseringar och sammanfattningar för misstänkta inloggningsaktiviteter.
– Fail2ban: Ett intrångsförebyggande system som övervakar autentiseringsloggar och automatiskt blockerar IP-adresser som uppvisar misstänkta inloggningsmönster.
Konfigurera centraliserad loggning
För att förenkla övervakningen rekommenderas det att konfigurera centraliserad loggning på dina Ubuntu-system. Detta gör att du kan samla in och granska autentiseringsloggar från flera system på en central plats.
1. Installera syslog-ng:
sudo apt install syslog-ng
2. Konfigurera syslog-ng för att lyssna på autentiseringsloggar:
Öppna /etc/syslog-ng/syslog-ng.conf och lägg till följande rader:
source auth {
system();
internal();
};
3. Konfigurera syslog-ng för att skicka autentiseringsloggar till en central server:
Lägg till följande rader i /etc/syslog-ng/syslog-ng.conf:
destination remote_auth {
file("/var/log/centralized-auth.log");
};
log {
source(auth);
destination(remote_auth);
};
4. Starta om syslog-ng:
sudo systemctl restart syslog-ng
Övervaka autentiseringsloggar med SSH
SSH tillhandahåller en praktisk metod för att övervaka autentiseringsloggar från flera Ubuntu-system på distans.
1. Anslut till fjärrmaskinen via SSH:
ssh användarnamn@ip-address
2. Öppna autentiseringsloggen:
sudo cat /var/log/auth.log
3. Använd grep för att filtrera inloggningsförsök efter användarnamn eller IP-adress:
sudo grep "användarnamn" /var/log/auth.log
sudo grep "ip-address" /var/log/auth.log
Övervaka autentiseringsloggar med Logwatch
Logwatch är ett kraftfullt verktyg som automatiserar övervakningen av autentiseringsloggar och tillhandahåller anpassningsbara sammanfattningar och e-postaviseringar.
1. Installera Logwatch:
sudo apt install logwatch
2. Konfigurera Logwatch för att övervaka autentiseringsloggar:
Öppna /etc/logwatch/conf/logwatch.conf och lägg till följande rader:
MailFrom = [email protected]
MailTo = anvä[email protected]
3. Skapa ett anpassat filter för autentiseringsloggar:
Öppna /etc/logwatch/conf/logfiles/logfiles.d/auth.conf och lägg till följande rader:
Övervaka auth.log för misstänkta inloggningsförsök
/var/log/auth.log
{
searchfailedlogins / Failed login
}
4. Konfigurera schemalagd e-postavisering:
Öppna /etc/crontab och lägg till följande rad:
0 0 * root logwatch --output mail --range yesterday --mailto anvä[email protected]
Övervaka autentiseringsloggar med Fail2ban
Fail2ban är ett effektivt verktyg för att förebygga intrång genom att övervaka autentiseringsloggar och automatiskt blockera IP-adresser som uppvisar misstänkta inloggningsmönster.
1. Installera Fail2ban:
sudo apt install fail2ban
2. Konfigurera Fail2ban för att övervaka autentiseringsloggar:
Öppna /etc/fail2ban/jail.conf och lägg till följande rader:
[DEFAULT]
ignoreip = 127.0.0.1/8
bantime = 3600
findtime = 300
maxretry = 3
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
3. Starta Fail2ban:
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
Slutsats
Genom att följa de metoder som beskrivs i den här omfattande guiden kan du effektivt övervaka autentiseringsloggar på Ubuntu för att förbättra din systemsäkerhet. Genom att centralisera loggning, använda kraftfulla verktyg och implementera proaktiva åtgärder som Fail2ban kan du identifiera misstänkta inloggningsförsök, undersöka säkerhetsincidenter och upprätthålla efterlevnad av regelkraven. Regelbunden övervakning av autentiseringsloggar är avgörande för att skydda dina Ubuntu-system mot obehörig åtkomst och säkerställa stabiliteten i ditt IT-landskap.
Vanliga frågor
1. Var ska jag hitta autentiseringsloggarna på Ubuntu?
Autentiseringsloggar finns vanligtvis i /var/log/auth.log.
2. Vilket kommando kan jag använda för att övervaka autentiseringsloggar i realtid?
Du kan använda kommandot tail -f /var/log/auth.log för att övervaka autentiseringsloggar i realtid.
3. Hur kan jag filtrera autentiseringsloggar efter en viss användare eller IP-adress?
Du kan använda kommandot grep för att filtrera autentiseringsloggar. Exempel: grep användarnamn /var/log/auth.log.
4. Vad är syslog-ng?
Syslog-ng är ett avancerat loggningssystem som kan användas för att centralisera loggning och övervaka autentiseringsloggar från flera system.
5. Hur aktiverar jag e-postaviseringar för misstänkta inloggningsförsök med Logwatch?
Konfigurera Logwatch och skapa anpassade filter för att övervaka autentiseringsloggar och skicka e-postaviseringar.
6. Vad är Fail2ban?
Fail2ban är ett intrångsförebyggande system som skyddar mot brute-force-attacker genom att övervaka autentiseringsloggar och blockera misstänkta IP-adresser automatiskt.
7. Hur kan jag se blockerade IP-adresser i Fail2ban?
Kör kommandot fail2ban-client status för att se listan över blockerade IP-adresser.
**8. Hur ofta bör jag övervaka autentiserings