Como administrador de sistema, é importante monitorar regularmente os logins de usuários em um sistema Linux em busca de atividades suspeitas.

Seja você um administrador do Linux com servidores e vários usuários sob sua supervisão ou um usuário regular do Linux, é sempre bom ser proativo na proteção do seu sistema.

Uma das maneiras pelas quais você pode proteger ativamente seu sistema é monitorando os logins dos usuários, especialmente os usuários conectados no momento e os logins ou tentativas de login com falha.

Por que monitorar logins no Linux?

Monitorar logins em seu sistema Linux é uma atividade importante por vários motivos:

  • Conformidade: A maioria dos padrões de segurança de TI, regulamentos e governos exigem que você monitore os logs para estar em conformidade com as melhores práticas do setor.
  • Segurança: Os logs de monitoramento o ajudarão a melhorar a segurança em seus sistemas porque você tem visibilidade dos usuários que estão acessando ou tentando acessar seu sistema. Isso permite que você tome medidas preventivas se notar atividades de login indesejadas.
  • Solução de problemas: Descubra por que um usuário pode estar tendo problemas para fazer login em seu sistema.
  • Trilha de auditoria: Os logs de login são uma boa fonte de informações para auditorias de segurança de TI e atividades relacionadas.

Existem quatro tipos principais de logins que você deve monitorar em seu sistema: logins bem-sucedidos, logins com falha, logins SSH e logins FTP. Vejamos como você pode monitorar cada um deles no Linux.

1. Usando o último comando

durar é um poderoso utilitário de linha de comando para monitorar logins anteriores em seu sistema, incluindo logins bem-sucedidos e com falha. Além disso, também exibe desligamentos, reinicializações e logouts do sistema.

Basta abrir seu terminal e executar o seguinte comando para exibir todas as informações de login:

durar

Você pode usar o grep para filtrar logins específicos. Por exemplo, para listar usuários logados no momento, você pode executar o comando:

último | grep "conectado"

Você também pode usar o c comando para mostrar usuários logados e o que eles estão fazendo; para isso, basta digitar c no terminal.

2. Usando o comando lastlog

O último registro O utilitário exibe detalhes de login de todos os usuários, incluindo usuários padrão, usuários do sistema e usuários da conta de serviço.

sudo lastlog

A saída contém todos os usuários, exibidos em um formato organizado que mostra seu nome de usuário, a porta que estão usando, o endereço IP de origem e o carimbo de data/hora em que efetuaram login.

Verifique as páginas de manual do lastlog usando o comando homem lastlog para saber mais sobre seu uso e opções de comando.

3. Monitorando logins SSH no Linux

Uma das formas mais comuns de obter acesso remoto a servidores Linux é via SSH. Se o seu PC ou servidor estiver conectado à internet, você deve proteja suas conexões SSH (desativando logins SSH baseados em senha, por exemplo).

O monitoramento de logins SSH lhe dará uma boa visão geral de se alguém está tentando força bruta em seu sistema.

Por padrão, o registro SSH está desabilitado em alguns sistemas. Você pode ativá-lo editando o /etc/ssh/sshd_config arquivo. Use qualquer um de seus editores de texto favoritos e descomente a linha INFORMAÇÕES de Nível de Log e também editá-lo para LogLevel VERBOSE. Deve ser semelhante ao seguinte após as alterações:

Você precisará reiniciar o serviço SSH depois de fazer esta alteração:

sudo systemctl reiniciar ssh

Todos os logins ou atividades SSH agora serão registrados no /var/log/auth.log arquivo. O arquivo contém uma tonelada de informações para monitorar logins e tentativas de login em seu sistema Linux.

Você pode usar o gato comando ou qualquer outra ferramenta de saída para ler o conteúdo do log de autenticação arquivo:

cat /var/log/auth.log

Use grep para filtrar logins SSH específicos. Por exemplo, para listar tentativas de login com falha, você pode executar o seguinte comando:

sudo grep "Falha" /var/log/auth.log

Além de visualizar as tentativas de login com falha, também é uma boa ideia observar os usuários conectados e detectar se há algum suspeito; por exemplo, ex-funcionários.

4. Monitorando logins de FTP no Linux

FTP é um protocolo amplamente utilizado para transferência de arquivos entre um cliente e um servidor. Você deve estar autenticado no servidor para poder transferir arquivos.

Como o serviço envolve a transferência de arquivos, qualquer violação de segurança pode ter sérias implicações para sua privacidade. Felizmente, você pode monitorar facilmente os logins de FTP e todas as outras atividades relacionadas filtrando por "FTP" no /var/log/syslog arquivo usando o seguinte comando:

grep ftp /var/log/syslog

Monitore logins no Linux para melhor segurança

Todo administrador de sistema deve ser proativo na proteção de seu sistema. Monitorar seus logins de tempos em tempos é a melhor maneira de detectar atividades suspeitas.

Você também pode utilizar ferramentas como fail2ban para executar automaticamente medidas preventivas em seu nome.