/ / Cách theo dõi thông tin đăng nhập của người dùng trên Linux

Cách theo dõi thông tin đăng nhập của người dùng trên Linux

Cho dù bạn là quản trị viên Linux có máy chủ và nhiều người dùng dưới sự giám sát của bạn hay người dùng Linux thông thường, việc chủ động bảo mật hệ thống của bạn luôn là điều tốt.


Một trong những cách bạn có thể chủ động bảo mật hệ thống của mình là theo dõi thông tin đăng nhập của người dùng, đặc biệt là những người dùng hiện đang đăng nhập và những lần đăng nhập hoặc lần thử đăng nhập không thành công.


Tại sao phải giám sát đăng nhập trên Linux?

Theo dõi thông tin đăng nhập trên hệ thống Linux của bạn là một hoạt động quan trọng vì nhiều lý do:

  • Sự tuân thủ: Hầu hết các tiêu chuẩn, quy định và chính phủ về bảo mật CNTT đều yêu cầu bạn theo dõi nhật ký để tuân thủ các thông lệ tốt nhất trong ngành.
  • Bảo vệ: Nhật ký giám sát sẽ giúp bạn cải thiện tính bảo mật trên hệ thống của mình vì bạn có khả năng hiển thị đối với những người dùng đang truy cập hoặc cố gắng truy cập hệ thống của bạn. Điều này cho phép bạn thực hiện các biện pháp phòng ngừa nếu bạn nhận thấy các hoạt động đăng nhập không mong muốn.
  • Xử lý sự cố: Tìm hiểu lý do tại sao người dùng có thể gặp sự cố khi đăng nhập vào hệ thống của bạn.
  • Đường mòn kiểm toán: Nhật ký đăng nhập là một nguồn thông tin tốt để kiểm tra bảo mật CNTT và các hoạt động liên quan.

Có bốn loại đăng nhập chính mà bạn nên theo dõi trên hệ thống của mình: đăng nhập thành công, đăng nhập thất bại, đăng nhập SSH và đăng nhập FTP. Hãy xem cách bạn có thể giám sát từng thứ này trên Linux.

1. Sử dụng Lệnh cuối cùng

cuối cùng là một tiện ích dòng lệnh mạnh mẽ để theo dõi các lần đăng nhập trước đó trên hệ thống của bạn, bao gồm cả các lần đăng nhập thành công và thất bại. Ngoài ra, nó cũng hiển thị các lần tắt, khởi động lại và đăng xuất hệ thống.

Chỉ cần mở terminal của bạn và chạy lệnh sau để hiển thị tất cả thông tin đăng nhập:

 last
danh sách đăng nhập trên linux bằng lệnh đăng nhập cuối cùng

Bạn có thể sử dụng grep để lọc các thông tin đăng nhập cụ thể. Ví dụ: để liệt kê những người dùng đã đăng nhập hiện tại, bạn có thể chạy lệnh:

 last | grep "logged in"

Bạn cũng có thể sử dụng w lệnh hiển thị người dùng đã đăng nhập và họ đang làm gì; để làm như vậy, chỉ cần nhập w trong thiết bị đầu cuối.

2. Sử dụng lệnh lastlog

Các nhật ký cuối cùng tiện ích hiển thị chi tiết đăng nhập của tất cả người dùng, bao gồm người dùng tiêu chuẩn, người dùng hệ thống và người dùng tài khoản dịch vụ.

 sudo lastlog
lệnh lastlog hiển thị thông tin đăng nhập của người dùng onribu linux

Đầu ra chứa tất cả người dùng, được hiển thị ở định dạng gọn gàng hiển thị tên người dùng của họ, cổng họ đang sử dụng, địa chỉ IP gốc và dấu thời gian họ đã đăng nhập.

Kiểm tra các trang man lastlog bằng lệnh người đàn ông cuối cùng để tìm hiểu thêm về cách sử dụng và các tùy chọn lệnh của nó.

3. Giám sát đăng nhập SSH trên Linux

Một trong những cách phổ biến nhất để truy cập từ xa vào máy chủ Linux là thông qua SSH. Nếu PC hoặc máy chủ của bạn được kết nối với internet, bạn phải bảo mật các kết nối SSH của mình (ví dụ: bằng cách vô hiệu hóa thông tin đăng nhập SSH dựa trên mật khẩu).

Theo dõi thông tin đăng nhập SSH sẽ cung cấp cho bạn cái nhìn tổng quan về việc liệu có ai đang cố xâm nhập vào hệ thống của bạn hay không.

Theo mặc định, ghi nhật ký SSH bị tắt trên một số hệ thống. Bạn có thể kích hoạt nó bằng cách chỉnh sửa /etc/ssh/sshd_config tài liệu. Sử dụng bất kỳ trình soạn thảo văn bản yêu thích nào của bạn và bỏ ghi chú dòng Thông tin logLevel và cũng chỉnh sửa nó thành LogLevel RÕ RÀNG. Nó sẽ trông giống như sau sau khi thay đổi:

bật ghi nhật ký chi tiết trên SSH, Linux

Bạn sẽ cần khởi động lại dịch vụ SSH sau khi thực hiện thay đổi này:

 sudo systemctl restart ssh

Tất cả các thông tin đăng nhập hoặc hoạt động SSH sẽ được ghi vào /var/log/auth.log tài liệu. Tệp chứa rất nhiều thông tin để theo dõi thông tin đăng nhập và các lần đăng nhập trên hệ thống Linux của bạn.

Bạn có thể dùng con mèo lệnh hoặc bất kỳ công cụ đầu ra nào khác để đọc nội dung của auth.log tài liệu:

 cat /var/log/auth.log

Sử dụng grep để lọc thông tin đăng nhập SSH cụ thể. Ví dụ: để liệt kê các lần đăng nhập không thành công, bạn có thể chạy lệnh sau:

 sudo grep "Failed" /var/log/auth.log

Ngoài việc xem các lần đăng nhập không thành công, bạn cũng nên xem xét những người dùng đã đăng nhập và phát hiện xem có bất kỳ người dùng đáng ngờ nào không; ví dụ, nhân viên cũ.

4. Giám sát đăng nhập FTP trên Linux

FTP là một giao thức được sử dụng rộng rãi để truyền tệp giữa máy khách và máy chủ. Bạn phải được xác thực trên máy chủ để có thể truyền tệp.

Vì dịch vụ liên quan đến việc truyền tệp nên bất kỳ vi phạm bảo mật nào cũng có thể gây ảnh hưởng nghiêm trọng đến quyền riêng tư của bạn. May mắn thay, bạn có thể dễ dàng theo dõi thông tin đăng nhập FTP và tất cả các hoạt động liên quan khác bằng cách lọc “FTP” trong /var/log/syslog tệp bằng lệnh sau:

 grep ftp /var/log/syslog

Giám sát đăng nhập trên Linux để bảo mật tốt hơn

Mọi quản trị viên hệ thống nên chủ động trong việc bảo mật hệ thống của họ. Theo dõi thông tin đăng nhập của bạn theo thời gian là cách tốt nhất để phát hiện hoạt động đáng ngờ.

Bạn cũng có thể sử dụng các công cụ như fail2ban để tự động thực hiện các biện pháp phòng ngừa thay cho bạn.

Bài viết liên quan:

  1. 6 Công nghệ chuẩn mực xã hội được tạo ra mà bạn tuân theo mỗi ngày
  2. Bạn nên mua Apple Watch cỡ nào?
  3. 4 cách RV điện sẽ thay đổi cuộc sống của Van mãi mãi
  4. Đánh giá rủi ro di động là gì? 5 lý do chính đáng để thực hiện một

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *