Hur man övervakar systemets autentiseringsloggar på Ubuntu

Autentiseringsloggar spelar en central roll för att upptäcka och åtgärda obehörig åtkomst till ditt Ubuntu-system. Genom noggrann bevakning av dessa loggar kan du identifiera avvikande aktiviteter, utreda säkerhetsincidenter och säkerställa efterlevnad av relevanta bestämmelser. Denna detaljerade guide ger dig en djupare insikt i effektiva metoder för att övervaka autentiseringsloggar i Ubuntu och därmed förbättra systemets säkerhet.

Förståelse för autentiseringsloggar

Autentiseringsloggar registrerar varje försök att logga in på ditt system, inklusive både de lyckade och misslyckade försöken. Denna information är kritisk och inkluderar:

– Användarnamn eller användar-ID för den som försöker logga in
– Den exakta tidpunkten för inloggningsförsöket
– Resultatet av inloggningsförsöket (om det lyckades eller misslyckades)
– IP-adressen för den enhet som inloggningsförsöket kommer ifrån
– Den specifika inloggningsmetoden som användes (t.ex. lösenord, nyckelbaserad autentisering eller tvåfaktorsautentisering)

Verktyg för loggövervakning

Det finns flera verktyg tillgängliga för att underlätta övervakningen av autentiseringsloggar i Ubuntu:

Auth.log: Huvudloggen som samlar in alla inloggningsförsök till systemet.
Secure Shell (SSH): Ett mångsidigt kommandoradsverktyg som kan användas för att fjärransluta till och övervaka andra system och deras autentiseringsloggar.
Logwatch: Ett automatiserat loggövervakningsverktyg som kan generera e-postnotiser och sammanfattningar av misstänkta inloggningsaktiviteter.
Fail2ban: Ett system för intrångsförebyggande som analyserar autentiseringsloggar och automatiskt blockerar IP-adresser som uppvisar osedvanliga inloggningsmönster.

Centraliserad logghantering

För att underlätta loggövervakning rekommenderas det starkt att konfigurera centraliserad logghantering för dina Ubuntu-system. Detta möjliggör insamling och analys av autentiseringsloggar från flera system på en och samma plats.

1. Installera syslog-ng:
sudo apt install syslog-ng

2. Konfigurera syslog-ng för att spåra autentiseringsloggar:
Öppna filen /etc/syslog-ng/syslog-ng.conf och lägg till följande rader:


source auth {
system();
internal();
};

3. Konfigurera syslog-ng för att överföra autentiseringsloggar till en central server:
Lägg till följande rader i /etc/syslog-ng/syslog-ng.conf:


destination remote_auth {
file("/var/log/centralized-auth.log");
};
log {
source(auth);
destination(remote_auth);
};

4. Starta om syslog-ng:
sudo systemctl restart syslog-ng

Övervakning med SSH

SSH erbjuder en praktisk metod för fjärrövervakning av autentiseringsloggar från flera Ubuntu-system.

1. Anslut till fjärrsystemet via SSH:
ssh användarnamn@ip-address

2. Öppna autentiseringsloggen:
sudo cat /var/log/auth.log

3. Använd grep för att filtrera loggen baserat på användarnamn eller IP-adress:
sudo grep "användarnamn" /var/log/auth.log
sudo grep "ip-address" /var/log/auth.log

Logwatch för automatiserad övervakning

Logwatch är ett kraftfullt verktyg för automatiserad loggövervakning, som genererar anpassningsbara sammanfattningar och e-postaviseringar.

1. Installera Logwatch:
sudo apt install logwatch

2. Konfigurera Logwatch för att övervaka autentiseringsloggar:
Öppna /etc/logwatch/conf/logwatch.conf och lägg till följande rader:


MailFrom = [email protected]
MailTo = anvä[email protected]

3. Skapa ett anpassat filter för autentiseringsloggar:
Öppna /etc/logwatch/conf/logfiles/logfiles.d/auth.conf och lägg till följande:


/var/log/auth.log
{
searchfailedlogins / Failed login
}

4. Schemalägg e-postaviseringar:
Öppna /etc/crontab och lägg till följande rad:


0 0 * * * root logwatch --output mail --range yesterday --mailto anvä[email protected]

Fail2ban för intrångsskydd

Fail2ban är ett effektivt verktyg för att förhindra intrång genom att analysera autentiseringsloggar och automatiskt blockera IP-adresser som visar osedvanliga inloggningsmönster.

1. Installera Fail2ban:
sudo apt install fail2ban

2. Konfigurera Fail2ban för autentiseringsloggar:
Öppna filen /etc/fail2ban/jail.conf och lägg till dessa rader:


[DEFAULT]
ignoreip = 127.0.0.1/8
bantime = 3600
findtime = 300
maxretry = 3

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log

3. Starta och aktivera Fail2ban:
sudo systemctl start fail2ban
sudo systemctl enable fail2ban

Sammanfattning

Genom att tillämpa de metoder som beskrivs i den här guiden kan du effektivt övervaka autentiseringsloggarna i Ubuntu för att öka systemets säkerhet. Med centraliserad loggning, användning av kraftfulla verktyg och proaktiva åtgärder som Fail2ban kan du snabbt identifiera misstänkta inloggningsförsök, undersöka säkerhetsincidenter och säkerställa efterlevnad av gällande regler. Kontinuerlig övervakning är nödvändig för att skydda dina Ubuntu-system från obehörig åtkomst och upprätthålla stabiliteten i din IT-infrastruktur.

Vanliga Frågor

1. Var finns autentiseringsloggarna i Ubuntu?
Autentiseringsloggarna finns vanligtvis på platsen: /var/log/auth.log.

2. Vilket kommando används för att övervaka autentiseringsloggar i realtid?
Kommandot tail -f /var/log/auth.log används för att se autentiseringsloggar i realtid.

3. Hur filtreras loggarna efter en specifik användare eller IP-adress?
Du använder kommandot grep. Exempel: grep användarnamn /var/log/auth.log.

4. Vad är syslog-ng?
Syslog-ng är ett avancerat loggningssystem för centraliserad loggning och övervakning från flera system.

5. Hur aktiveras e-postaviseringar för misstänkta inloggningar i Logwatch?
Konfigurera Logwatch och skapa anpassade filter för att skicka e-postnotiser.

6. Vad är Fail2ban?
Fail2ban är ett intrångsförebyggande system som skyddar mot brute-force-attacker genom automatisk blockering av IP-adresser.

7. Hur ser jag blockerade IP-adresser i Fail2ban?
Använd kommandot fail2ban-client status för att se listan över blockerade IP-adresser.

8. Hur ofta bör jag övervaka autentiseringsloggarna?