एक सिस्टम प्रशासक के रूप में, संदिग्ध गतिविधियों के लिए Linux सिस्टम पर नियमित रूप से उपयोगकर्ता लॉगिन की निगरानी करना महत्वपूर्ण है।
चाहे आप सर्वर के साथ एक लिनक्स व्यवस्थापक हों और आपकी निगरानी में कई उपयोगकर्ता हों या एक नियमित लिनक्स उपयोगकर्ता हों, अपने सिस्टम को सुरक्षित करने में हमेशा सक्रिय रहना अच्छा होता है।
अपने सिस्टम को सक्रिय रूप से सुरक्षित करने के तरीकों में से एक उपयोगकर्ता लॉगिन की निगरानी करना है, विशेष रूप से वर्तमान में लॉग-इन उपयोगकर्ता और विफल लॉगिन या लॉगिन प्रयास।
Linux पर लॉगिन की निगरानी क्यों करें?
आपके लिनक्स सिस्टम पर लॉगिन की निगरानी कई कारणों से एक महत्वपूर्ण गतिविधि है:
- अनुपालन: अधिकांश आईटी सुरक्षा मानकों, विनियमों और सरकारों के लिए आवश्यक है कि आप सर्वोत्तम उद्योग प्रथाओं के अनुपालन के लिए लॉग की निगरानी करें।
- सुरक्षा: मॉनिटरिंग लॉग आपको अपने सिस्टम पर सुरक्षा को बेहतर बनाने में मदद करेगा क्योंकि आपके पास उन उपयोगकर्ताओं पर दृश्यता है जो आपके सिस्टम तक पहुंच रहे हैं या एक्सेस करने का प्रयास कर रहे हैं। यदि आप अवांछित लॉगिन गतिविधियों को देखते हैं तो यह आपको निवारक उपाय करने की अनुमति देता है।
- समस्या निवारण: पता लगाएँ कि किसी उपयोगकर्ता को आपके सिस्टम में लॉग इन करने में समस्या क्यों हो सकती है।
- ऑडिटिंग ट्रेल: लॉगिन लॉग IT सुरक्षा ऑडिट और संबंधित गतिविधियों के लिए जानकारी का एक अच्छा स्रोत हैं।
लॉगिन के चार मुख्य प्रकार हैं जिनकी निगरानी आपको अपने सिस्टम पर करनी चाहिए: सफल लॉगिन, विफल लॉगिन, SSH लॉगिन और FTP लॉगिन। आइए देखें कि आप इनमें से प्रत्येक को लिनक्स पर कैसे मॉनिटर कर सकते हैं।
1. अंतिम कमांड का उपयोग करना
अंतिम सफल और विफल लॉगिन सहित आपके सिस्टम पर पिछले लॉगिन की निगरानी के लिए एक शक्तिशाली कमांड-लाइन उपयोगिता है। इसके अलावा, यह सिस्टम शटडाउन, रीबूट और लॉगआउट भी प्रदर्शित करता है।
बस अपना टर्मिनल खोलें और सभी लॉगिन जानकारी प्रदर्शित करने के लिए निम्न कमांड चलाएँ:
अंतिमविशिष्ट लॉगिन के लिए फ़िल्टर करने के लिए आप grep का उपयोग कर सकते हैं। उदाहरण के लिए, करने के लिए वर्तमान लॉग-इन उपयोगकर्ताओं को सूचीबद्ध करें, आप कमांड चला सकते हैं:
अंतिम | ग्रेप "लॉग इन"आप भी इस्तेमाल कर सकते हैं डब्ल्यू लॉग-इन उपयोगकर्ता और वे क्या कर रहे हैं यह दिखाने के लिए कमांड; ऐसा करने के लिए, बस प्रवेश करें डब्ल्यू टर्मिनल में।
2. लास्टलॉग कमांड का उपयोग करना
lastlog उपयोगिता सभी उपयोगकर्ताओं के लॉगिन विवरण प्रदर्शित करती है, जिसमें मानक उपयोगकर्ता, सिस्टम उपयोगकर्ता और सेवा खाता उपयोगकर्ता शामिल हैं।
सुडो लास्टलॉगआउटपुट में सभी उपयोगकर्ता होते हैं, जो एक स्वच्छ प्रारूप में प्रदर्शित होते हैं जो उनके उपयोगकर्ता नाम, उनके द्वारा उपयोग किए जा रहे पोर्ट, मूल आईपी पते और उनके द्वारा लॉग इन किए गए टाइमस्टैम्प को दिखाता है।
कमांड का उपयोग करके लास्टलॉग मैन पेज देखें मैन लास्टलॉग इसके उपयोग और आदेश विकल्पों के बारे में अधिक जानने के लिए।
3. Linux पर SSH लॉगिन की निगरानी करना
एसएसएच के माध्यम से लिनक्स सर्वर तक दूरस्थ पहुंच प्राप्त करने के सबसे सामान्य तरीकों में से एक है। यदि आपका पीसी या सर्वर इंटरनेट से जुड़ा है, तो आपको अवश्य करना चाहिए अपने SSH कनेक्शन सुरक्षित करें (उदाहरण के लिए, पासवर्ड-आधारित SSH लॉगिन अक्षम करके)।
SSH लॉगिन की निगरानी आपको इस बात का एक अच्छा अवलोकन देगी कि क्या कोई आपके सिस्टम में जबरदस्ती करने की कोशिश कर रहा है।
डिफ़ॉल्ट रूप से, SSH लॉगिंग कुछ सिस्टम पर अक्षम है। आप इसे संपादित करके सक्षम कर सकते हैं /etc/ssh/sshd_config फ़ाइल। अपने किसी भी पसंदीदा टेक्स्ट एडिटर का उपयोग करें और लाइन को अनकमेंट करें लॉगलेवल जानकारी और इसे संपादित भी करें लॉगलेवल वर्बोज़. परिवर्तनों के बाद यह निम्न के जैसा दिखना चाहिए:
यह परिवर्तन करने के बाद आपको SSH सेवा को पुनरारंभ करना होगा:
sudo systemctl ssh को पुनरारंभ करेंसभी SSH लॉगिन या गतिविधियाँ अब लॉग इन की जाएँगी /var/log/auth.log फ़ाइल। फ़ाइल में आपके लिनक्स सिस्टम पर लॉगिन और लॉगिन प्रयासों की निगरानी के लिए बहुत सारी जानकारी है।
आप उपयोग कर सकते हैं बिल्ली सामग्री को पढ़ने के लिए कमांड या कोई अन्य आउटपुट टूल प्रमाणीकरण लॉग फ़ाइल:
बिल्ली /var/log/auth.logविशिष्ट SSH लॉगिन के लिए फ़िल्टर करने के लिए grep का उपयोग करें। उदाहरण के लिए, विफल लॉगिन प्रयासों को सूचीबद्ध करने के लिए, आप निम्न आदेश चला सकते हैं:
सुडो ग्रेप "विफल" /var/log/auth.logविफल लॉगिन प्रयासों को देखने के अलावा, लॉग-इन उपयोगकर्ताओं को देखना और यह पता लगाना भी एक अच्छा विचार है कि क्या कोई संदिग्ध हैं; उदाहरण के लिए, पूर्व कर्मचारी।
4. Linux पर FTP लॉगिन की निगरानी करना
एफ़टीपी क्लाइंट और सर्वर के बीच फ़ाइलों को स्थानांतरित करने के लिए एक व्यापक रूप से इस्तेमाल किया जाने वाला प्रोटोकॉल है। फ़ाइलों को स्थानांतरित करने में सक्षम होने के लिए आपको सर्वर पर प्रमाणित होना चाहिए।
चूंकि सेवा में फ़ाइलें स्थानांतरित करना शामिल है, किसी भी सुरक्षा उल्लंघन का आपकी गोपनीयता के लिए गंभीर प्रभाव हो सकता है। सौभाग्य से, आप एफ़टीपी में "एफ़टीपी" के लिए फ़िल्टर करके आसानी से एफ़टीपी लॉगिन और अन्य सभी संबंधित गतिविधियों की निगरानी कर सकते हैं /var/log/syslog निम्नलिखित कमांड का उपयोग करके फाइल करें:
ग्रेप एफटीपी /var/log/syslogबेहतर सुरक्षा के लिए Linux पर लॉगिन की निगरानी करें
प्रत्येक सिस्टम प्रशासक को अपने सिस्टम को सुरक्षित करने में सक्रिय होना चाहिए। समय-समय पर अपने लॉगिन की निगरानी करना संदिग्ध गतिविधि का पता लगाने का सबसे अच्छा तरीका है।
आप अपनी ओर से निवारक उपायों को स्वचालित रूप से करने के लिए fail2ban जैसे टूल का उपयोग भी कर सकते हैं।