Контроль журналов аутентификации системы в Ubuntu

Журналы аутентификации системы – это файлы и записи, которые содержат информацию обо всех попытках войти в систему. Они включают в себя детали о том, кто пытался войти в систему, когда это произошло и был ли процесс успешным или неудачным.

Журналы хранятся в директории /var/log/auth.log в системе Ubuntu и доступны только для администратора с привилегиями суперпользователя.

Они могут быть полезными при отслеживании попыток несанкционированного доступа, идентификации проблем аутентификации или отслеживании активности пользователя в системе. Чтение журналов аутентификации помогают обеспечивать безопасность системы, следить за изменениями прав доступа и обнаруживать потенциальные угрозы.

Как контролировать журналы аутентификации

В Ubuntu для контроля журналов аутентификации, включая информацию о входах и авторизациях пользователей, используется системный журнал под названием «journalctl». Существует несколько способов, которые можно использовать для контроля журналов. Рассмотрим эти варианты ниже.

Важно напомнить, что для администрирования журналов аутентификации требуется право суперпользователя, поэтому многие команды могут потребовать префикса "sudo".

Журналы хранятся в системе в течение определенного периода времени, по умолчанию этот период составляет одну неделю. Для изменения срока хранения журналов аутентификации отредактируйте файл /etc/logrotate.conf. Для этого выполните следующие действия:

  1. В терминале выполните команду:

sudo nano /etc/logrotate.conf

  1. Найдите секцию # rotate log files weekly в файле. Здесь вы можете установить новое значение, для этого замените weekly (еженедельно) на нужный период (monthly, daily), этот параметр определяет частоту вращения журналов.
  2. Для изменения срока хранения журналов найдите строки, начинающиеся с rotate и maxage. Параметр rotate означает количество журналов, которое необходимо сохранить. Срок хранения задается в днях и устанавливается параметром maxage. Например, чтобы установить срок хранения в 30 дней и количество журналов 4, задайте значения:   

rotate 4

maxage 30

  1. Нажмите Ctrl + O, чтобы сохранить изменения. Для выхода нажмите Ctrl + X.

Срок хранения журналов аутентификации будет изменен согласно вашим настройкам.

Попробуйте Linux VPS/VDS от RU-CENTER для своих проектов. Широкая линейка тарифов подойдет для задач любого уровня сложности. Мы используем только надежное оборудование и пользуемся услугами дата-центра с уровнем защиты Tier-3. Наша техническая поддержка доступна круглосуточно.

Команда last

Команда last в операционной системе Ubuntu отображает список последних входов в систему. Она показывает пользователей, которые вошли в систему, время входа и выхода, а также на каком терминале они работали. 

Примеры использования команды last:

  1. Простое использование:

last

Отобразится список последних входов с информацией о пользователе, времени входа и выхода, а также использованном терминале.

  1. Вывод определенного количества записей:

last -n 5

Эта команда отобразит только последние 5 записей о входах в систему.

  1. Фильтрация вывода по имени пользователя:

last username

Вместо username укажите конкретное имя пользователя, чтобы отобразить список его входов и выходов.

  1. Показать только активных пользователей:

last -w

Отобразится список активных пользователей, которые в настоящее время вошли в систему.

  1. Отображение вывода в формате «long-list»:

last -f /var/log/wtmp

По умолчанию last читает файл /var/log/wtmp, но с помощью опции -f вы можете указать другой файл для чтения.

Команда lastlog

Команда lastlog позволяет просмотреть информацию о последних входах пользователей в систему. Вы сможете увидеть дату и время последнего входа каждого пользователя. Для выполнения команды введите в терминале: lastlog.

Вывод будет содержать столбцы с именами пользователей, их последними входами, а также информацию о сетевых адресах, с которых были сделаны эти входы.

Команда lastlog является полезным инструментом для отслеживания активности пользователей и контроля за безопасностью системы. Зная, когда пользователи последний раз входили в систему, можно обнаружить любые подозрительные или несанкционированные активности, необычные попытки входа. Кроме того, это может быть полезно для выявления активных пользователей.

Команда journalctl

Выполнение команды journalctl позволяет просматривать журналы системы в Ubuntu. Команда предоставляет доступ к подробной информации о событиях, ошибках, предупреждениях и другой важной информации, которая может помочь в анализе и устранении проблем.

Для выполнения команды в терминале введите: journalctl

(может потребоваться использование привилегий суперпользователя с помощью команды sudo перед journalctl).

После выполнения команды, вы увидите вывод журнала системы. Вы можете использовать различные опции journalctl для фильтрации вывода и поиска конкретных событий.

Например, опция --since позволяет просматривать события, с определенного момента времени, опция --priority используется для фильтрации событий по уровню приоритета, опция --unit – для просмотра событий, связанных с конкретным сервисом.

Команда Fail2Ban

Fail2Ban – это инструмент для обнаружения и предотвращения атак на сервер. Он работает, анализируя журналы системы, и автоматически блокирует IP-адреса, с которых были обнаружены подозрительные действия. Основная функция Fail2Ban заключается в анализе журналов системы и обнаружения подозрительной активности.  Если Fail2Ban обнаруживает нестандартную активность, он автоматически блокирует IP-адреса злоумышленников, чтобы предотвратить дальнейшие попытки взлома.

Fail2Ban предоставляет гибкую конфигурацию, которая позволяет администраторам настроить правила обнаружения и блокировки событий, а также настраивать длительность блокировки и другие параметры. Настройка правил осуществляется в конфигурационных файлах Fail2Ban, они содержат правила для анализа журналов и определения подозрительных событий. Основной файл конфигурации находится по пути /etc/fail2ban/jail.conf.

  1. Чтобы выполнить команду Fail2Ban, в терминале введите команду: 

sudo systemctl start fail2ban. 

Она запустит службу Fail2Ban на вашем сервере.

  1. Для автоматического запуска Fail2Ban при загрузке системы, введите:

sudo systemctl enable fail2ban

Теперь Fail2Ban будет автоматически просматривать журналы системы и блокировать IP-адреса, с которых совершаются попытки атаки.

  1. Для просмотра списка заблокированных IP-адресов, введите:

sudo fail2ban-client status

  1. Чтобы разблокировать определенный IP-адрес используйте команду:

sudo fail2ban-client set <JAIL> unbanip <IP>

где <JAIL> – название применяемого подключения, 

<IP> – заблокированный IP-адрес.

  1. Чтобы остановить и выключить Fail2Ban, вы можете использовать соответствующие команды: 

sudo systemctl stop fail2ban 

sudo systemctl disable fail2ban

Fail2Ban может быть настроен или изменен в зависимости от ваших потребностей безопасности. Например, вы можете добавить свои правила или изменить количество повторных попыток до блокировки. 

Неудачные попытки входа: настройка системы оповещения

Для настройки системы оповещения о неудачных попытках входа вы можете использовать инструменты, доступные в вашей операционной системе. 

  1. Аудит безопасности записывает неудачный вход. Используйте утилиту auditd. Настройте для нее правила аудита, чтобы регистрировать события неудачных попыток входа в систему.
  2. Утилита logwatch

Logwatch – это утилита мониторинга журналов, которая может быть настроена для отправки ежедневных отчетов по электронной почте с информацией о неудачных попытках входа и других событиях в журналах системы.

Для установки logwatch в Ubuntu используйте команду:

sudo apt-get install logwatch

После установки вы можете настроить утилиту, указав адрес электронной почты для получения отчетов и другие опции в файле конфигурации /etc/logwatch/conf/logwatch.conf.

Мониторинг журналов аутентификации

Для настройки мониторинга системы выполните следующие действия:

  1. Установите и настройте аудит системы: Сначала установите пакет аудита системы (например, auditd для Ubuntu) на целевом сервере, если он не установлен. Затем отредактируйте файл конфигурации аудита системы, указав, какие события аутентификации нужно записывать или мониторить.
  2. Определите и настройте журналирование аутентификации. Для этого откройте файл конфигурации системного журнала (например, syslog) и настройте его так, чтобы записывать журналы аутентификации в отдельный файл. Убедитесь, что уровень журналирования установлен на достаточно высокий уровень, чтобы записывать детали аутентификации.
  3. Настройте мониторинг событий аутентификации. Используйте инструменты мониторинга журналов, такие как SIEM или системы мониторинга безопасности, чтобы настроить мониторинг событий аутентификации. В этих инструментах можно настроить оповещения об определенных событиях, например, неудачные попытки входа в систему или изменение учетных данных.
  4. Анализируйте и предпринимайте действия по мониторингу. Регулярно анализируйте журналы аутентификации, чтобы определить любые аномалии или потенциальные угрозы. В случае обнаружения подозрительной активности примите соответствующие меры: блокировка учетных записей или обращение к команде безопасности.

Управление аутентификацией в Ubuntu помогает обнаруживать подозрительные и регистрировать успешные и неудачные попытки входов. Вцелом, журнал аутентификации нужен для анализа и усиления безопасности: повторяющиеся неудачные попытки входа или необычные активности могут указывать на возможные проблемы безопасности, слабые пароли, скомпрометированные учетные записи или другие уязвимости системы.

Путем анализа и мониторинга журналов можно быстро выявить угрозы и проблемы безопасности, а также принять соответствующие меры для устранения их и предотвращения будущих инцидентов.

Всё ещё остались вопросы?