Sebagai administrator sistem, penting untuk secara rutin memantau proses masuk pengguna di sistem Linux untuk aktivitas yang mencurigakan.

Apakah Anda seorang admin Linux dengan server dan banyak pengguna di bawah pengawasan Anda atau pengguna Linux biasa, selalu baik untuk proaktif dalam mengamankan sistem Anda.

Salah satu cara Anda dapat mengamankan sistem Anda secara aktif adalah dengan memantau login pengguna, terutama pengguna yang sedang login dan login atau upaya login yang gagal.

Mengapa Memantau Login di Linux?

Memantau login di sistem Linux Anda merupakan aktivitas penting karena beberapa alasan:

  • Kepatuhan: Sebagian besar standar, peraturan, dan pemerintah keamanan TI mengharuskan Anda memantau log agar sesuai dengan praktik industri terbaik.
  • Keamanan: Log pemantauan akan membantu Anda meningkatkan keamanan pada sistem Anda karena Anda memiliki visibilitas pada pengguna yang mengakses atau mencoba mengakses sistem Anda. Ini memungkinkan Anda mengambil tindakan pencegahan jika Anda melihat aktivitas login yang tidak diinginkan.
    • instagram viewer
  • Penyelesaian masalah: Cari tahu mengapa pengguna mungkin mengalami masalah saat masuk ke sistem Anda.
  • Jejak audit: Log masuk adalah sumber informasi yang baik untuk audit keamanan TI dan aktivitas terkait.

Ada empat jenis login utama yang harus Anda pantau di sistem Anda: login yang berhasil, login yang gagal, login SSH, dan login FTP. Mari kita lihat bagaimana Anda dapat memantau masing-masing di Linux.

1. Menggunakan Perintah terakhir

terakhir adalah utilitas baris perintah yang kuat untuk memantau login sebelumnya di sistem Anda, termasuk login yang berhasil dan gagal. Selain itu, ini juga menampilkan shutdown sistem, reboot, dan logout.

Cukup buka terminal Anda dan jalankan perintah berikut untuk menampilkan semua informasi login:

terakhir

Anda dapat menggunakan grep untuk memfilter login tertentu. Misalnya, untuk daftar pengguna yang masuk saat ini, Anda dapat menjalankan perintah:

terakhir | grep "masuk"

Anda juga dapat menggunakan w perintah untuk menampilkan pengguna yang masuk dan apa yang mereka lakukan; untuk melakukannya, cukup masukkan w di terminal.

2. Menggunakan perintah lastlog

Itu lastlog utilitas menampilkan detail login semua pengguna, termasuk pengguna standar, pengguna sistem, dan pengguna akun layanan.

sudo lastlog

Outputnya berisi semua pengguna, ditampilkan dalam format rapi yang menunjukkan nama pengguna mereka, port yang mereka gunakan, alamat IP asal, dan stempel waktu yang mereka masuki.

Lihat halaman manual lastlog menggunakan perintah man lastlog untuk mempelajari lebih lanjut tentang penggunaan dan opsi perintahnya.

3. Memantau Login SSH di Linux

Salah satu cara paling umum untuk mendapatkan akses jarak jauh ke server Linux adalah melalui SSH. Jika PC atau server Anda terhubung ke internet, Anda harus melakukannya mengamankan koneksi SSH Anda (dengan menonaktifkan login SSH berbasis kata sandi, misalnya).

Memantau login SSH akan memberi Anda gambaran yang baik tentang apakah ada orang yang mencoba memaksa masuk ke sistem Anda.

Secara default, SSH logging dinonaktifkan pada beberapa sistem. Anda dapat mengaktifkannya dengan mengedit /etc/ssh/sshd_config mengajukan. Gunakan salah satu editor teks favorit Anda dan batalkan komentar pada baris INFO Tingkat Log dan juga mengeditnya menjadi VERBOSE Tingkat Log. Seharusnya terlihat seperti berikut ini setelah perubahan:

Anda harus memulai ulang layanan SSH setelah melakukan perubahan ini:

sudo systemctl restart ssh

Semua login atau aktivitas SSH sekarang akan dicatat ke /var/log/auth.log mengajukan. File tersebut berisi banyak informasi untuk memantau login dan upaya login di sistem Linux Anda.

Anda dapat menggunakan kucing perintah atau alat keluaran lainnya untuk membaca konten auth.log mengajukan:

kucing /var/log/auth.log

Gunakan grep untuk memfilter login SSH tertentu. Misalnya, untuk mencantumkan upaya login yang gagal, Anda dapat menjalankan perintah berikut:

sudo grep "Gagal" /var/log/auth.log

Selain melihat upaya login yang gagal, ada baiknya juga melihat pengguna yang login dan mendeteksi jika ada yang mencurigakan; misalnya mantan karyawan.

4. Memantau Login FTP di Linux

FTP adalah protokol yang banyak digunakan untuk mentransfer file antara klien dan server. Anda harus diautentikasi di server untuk dapat mentransfer file.

Karena layanan melibatkan transfer file, pelanggaran keamanan apa pun dapat berdampak serius pada privasi Anda. Untungnya, Anda dapat dengan mudah memantau login FTP dan semua aktivitas terkait lainnya dengan memfilter "FTP" di /var/log/syslog file menggunakan perintah berikut:

grep ftp /var/log/syslog

Pantau Login di Linux untuk Keamanan yang Lebih Baik

Setiap administrator sistem harus proaktif dalam mengamankan sistem mereka. Memantau login Anda dari waktu ke waktu adalah cara terbaik untuk mendeteksi aktivitas yang mencurigakan.

Anda juga dapat menggunakan alat seperti fail2ban untuk secara otomatis melakukan tindakan pencegahan atas nama Anda.