آنچه در این مقاله میخوانید
چگونه میتوانیم لاگهای احراز هویت سیستم را در سرور مجازی اوبونتو مانیتور کنیم!
نرگس سلطانی۲۱ آبان ۱۴۰۴
امنیت سیستمها و سرورها ارکانی نیست که بتوان آن را دستکم گرفت و راحت از آن عبور کرد. این دو المان از اهمیت بالایی برخوردار هستند. از مهمترین جنبههای آن میتوان به امنیت، نظارت کردن بر فعالیتها و از همه مهمتر ورود کاربران در سرور اشاره کرد. در زمانی که سیستمهای مختلفی برای احراز هویت کاربران استفاده میشود، نظارت بر تمامی این فرآیند ها به وضوح اعمال خواهد شد و همین امر نقش کلیدی را در شناخت تهدیدات و جلوگیری از دسترسیهای غیر مجاز را ایفا میکند.
اگر شما هم یک سرور ابونتو را مدیریت میکنید و نیاز به پیگیر دقیق و احراز هویت سیستم در سرور مجازی اوبونتو را دارید! نظارت بر لاگهای احراز هویت میتواند مهمترین و ابتداییترین گامی برای شما باشد تا بتوانید برای مسیر امن تری را برای سیستم خود بسازید.
در این مقاله از لیارا به بررسی دقیق و نحوه مانیتور کردن این لاگها در سرور اوبونتو خواهیم پرداخت. تا بتوانیم به صورت کامل مطمعن شویم که همه ورودیهای کاربران تحت کنترل و نظارت قرار دارند یا خیر.
با سرور ابو نتو لیارا، بدون دردسر سرور خود را تنها با چند کلیک مدیریت کنید.
✅ منابع کاملاً اختصاصی و پایدار✅ سرعت بالا و ترافیک نامحدود✅ امنیت پیشرفته و پشتیبانی 24/7
خرید و راهاندازی سرور اوبونتو ساعتی لیارا
در ادامه با این مطالب آشنا خواهید شد:
- بررسی ورود های غیر مجاز و احراز هویت
- نحوه استفاده از دستور last
- چگونه از دستور lastlog استفاده کنیم؟
- افزایش امنیت و نظارت بر سیستم و ولاگ ها
- جمع بندی
بررسی ورود های غیر مجاز و احراز هویت
سیستمهای لینوکسی، تمامی دفعاتی که فرد سعی دارد به سیستم وارد شود را در فایلی جداگانه ذخیرهسازی میکند. چه این تلاشها موفق باشد و چه نا موفق باشد؛ در نتیجه تحت هر شرایطی تمامی این فایلها ذخیره خواهند شد. این فایلها در مسیری که در ادامه گفته شده قرار دارد و شما میتوانید با وارد کردن دستور Less بهصورت کامل محتوای آن را بررسی کنید تا تمامی فعالیتهای کاربران و تلاشهایی که برای دسترسی غیر مجاز به سیستم شده است را بررسی کنید و آن را به صورت جدی پیگیری کنید. این فرآیندها به شما کمک خواهند کرد تا امنیت سیستم خود را بالا ببرید و از خطرات احتمالی جلوگیری کنید.
sudo less /var/log/auth.logOutput
May 3 18:20:45 localhost sshd[585]: Server listening on 0.0.0.0 port 22.
May 3 18:20:45 localhost sshd[585]: Server listening on :: port 22.
May 3 18:23:56 localhost login[673]: pam_unix(login:session): session opened fo
r user root by LOGIN(uid=0)
May 3 18:23:56 localhost login[714]: ROOT LOGIN on '/dev/tty1'
Sep 5 13:49:07 localhost sshd[358]: Received signal 15; terminating.
Sep 5 13:49:07 localhost sshd[565]: Server listening on 0.0.0.0 port 22.
Sep 5 13:49:07 localhost sshd[565]: Server listening on :: port 22.
. . .
برای خروج از دستور Less در زمانی که فایل را مشاهده کردهاید و دیگر به آن نیازی نداشتهاید، کافی است کلید q را وارد فشار دهید.
نحوه استفاده از دستور last
معمولا بیشتر افراد به دنبال جدیدترین تلاشهایی که برای ورورد اتفاق افتاده است هستند، پس برای مشاهده اخرین تلاشهایی که شده است از دستور زیر استفاده کنید.
این دستور نسخهای را به صورت قالببندی شده از تمامی اطلاعات در فایل دیگری به نام /etc/log/wtmp نمایش خواهد داد.
last
همانطور که در خط اول و سوم مشاهده میشود، در حال حاضر تنها این دو کاربر وارد سیستم شدهاند. مدتزمانی که کاربران در جلسات قبلی (که اکنون بسته شدهاند) وارد سیستم بودهاند، بهصورت مجموعهای از مقادیر جدا شده با خط تیره نمایش داده میشود.
Output
demoer pts/1 rrcs-72-43-115-1 Thu Sep 5 19:37 still logged in
root pts/1 rrcs-72-43-115-1 Thu Sep 5 19:37 - 19:37 (00:00)
root pts/0 rrcs-72-43-115-1 Thu Sep 5 19:15 still logged in
root pts/0 rrcs-72-43-115-1 Thu Sep 5 18:35 - 18:44 (00:08)
root pts/0 rrcs-72-43-115-1 Thu Sep 5 18:20 - 18:20 (00:00)
demoer pts/0 rrcs-72-43-115-1 Thu Sep 5 18:19 - 18:19 (00:00)چگونه از دستور lastlog استفاده کنیم؟
با استفاده از دستور lastlog میتوانید آخرینباری که هر کاربر در سیستم وارد شده است را مشاهده کنید.
تمامی این اطلاعات از فایل /etc/log/lastlog استخراج میشوند و بعد از آن با توجه به ورودیهای موجود در فایل /etc/passwd مرتب خواهند شد.
lastlogبا استفاده از این دستور میتوانید زمان ورود هر کدام از کاربران را در سیستم مشاهده کنید. به یاد داشته باشید که برای کاربران سیستمی معمولا عبارت Never Logged in را نمایش خواهد داد. بسیاری از این حسابهای سیستمی برای ورود مستقیم به سیستم استفاده نمیشوند، بنابراین این امر کاملا طبیعی میباشد.
Output
Username Port From Latest
root pts/1 rrcs-72-43-115-1 Thu Sep 5 19:37:02 +0000 2013
daemon **Never logged in**
bin **Never logged in**
sys **Never logged in**
sync **Never logged in**
games **Never logged in**
. . .افزایش امنیت و نظارت بر سیستم و ولاگ ها
برای افزایش امنیت و نظارت کلی بر سیستم و لاگهای میتوانید از روشهای زیر بهرهبرداری کنید.
ابزار Fail2Ban
این ابزار برای پیگیری و جلوگیری از حملاتی مانند بروت فورس که آن را حملات ورود ناموفق و مکرر گفته میشود جلوگیری کنید. این برنامه به صورت خودکار تلاش های ورود ناموفق را شناسایی میکند و تمامی آدرس های IP که به آن ها مربوط است را مسدود میکند. در این روش سیستم شما در برابر تلاش های غیر مجاز محافظت میشود.
ابزار Auditd
ابزار Auditd فعالیت های سیستمی مانند ورود به سیستم، دسترسی به فایل ها و تغییرات آن ها را با دقت نظاره کنید. با استفاده از این ابزار میتوانید همه ی رویداد های امنیتی مهم را ثبت کرده و در صورت بروز هر مشکل یا حمله ای، اطلاعات مفیدی را برای تحلیل در دست داشته باشید.
نظارت بر لاگ ها
علاوه بر دستوراتی که در بالا به آن ها اشاره شد که میتواند ورودی های کاربران را نشان دهد، میتوانید فایل های لاگ مانند /var/log/auth.log را به صورت کامل بررسی کرده و تلاش های ورود غیر مجاز سایر فعالیت های مشکوک را با دقت کامل بررسی کنید. این فرآیند به شما کمک میکند تا تمامی مشکلات امنیتی را سریع تر شناسایی کنید.
جمع بندی
احراز هویثت کاربران در سیستم عامل لینوکس یک بخش منعطف و راحت برای مدیریت سیستم شما است که میتوانید با کمک ابزار های مختلف از آن بهره برداری کنید. باید بدانید که سیستم اطلاعات مربوط به ورود کاربران را در کجا ذخیره کرده اید و این اطلاعات میتواند به شما در نظارت سرور خود و شناسایی تغییراتی که مربوط به شما نباشد کمک بزرگی را کند.