نظارت بر لاگ‌های احراز هویت سیستم در اوبونتو

یکی از اجزای اساسی مدیریت احراز هویت، نظارت بر سیستم پس از پیکربندی کاربران است. در این مقاله، ما نظارت بر لاگ‌های احراز هویت سیستم را در سرور لینوکس اوبونتو 22.04 بررسی می‌کنیم، اما شما می‌توانید از این دستورالعمل‌ها در اکثر توزیع های لینوکس نیز استفاده کنید. 

بررسی تلاش‌های انجام‌شده برای احراز هویت

سیستم‌های لینوکس مدرن تمام تلاش‌های مربوط به احراز هویت را در یک فایل مجزا ثبت می‌کنند. این فایل در مسیر «/var/log/auth.log» قرار گرفته است. شما می‌توانید با استفاده از ابزار less این فایل را مشاهده کنید:

sudo less /var/log/auth.log


Output

May  3 18:20:45 localhost sshd[585]: Server listening on 0.0.0.0 port 22.

May  3 18:20:45 localhost sshd[585]: Server listening on :: port 22.

May  3 18:23:56 localhost login[673]: pam_unix(login:session): session opened fo

r user root by LOGIN(uid=0)

May  3 18:23:56 localhost login[714]: ROOT LOGIN  on '/dev/tty1'

Sep  5 13:49:07 localhost sshd[358]: Received signal 15; terminating.

Sep  5 13:49:07 localhost sshd[565]: Server listening on 0.0.0.0 port 22.

Sep  5 13:49:07 localhost sshd[565]: Server listening on :: port 22.

. . .

وقتی به‌دقت فایل را بررسی کردید، می‌توانید با استفاده از تایپ کردن q از ابزار less خارج شوید.

چطور از دستور last استفاده کنیم؟

اگر پس از خرید یک سرور مجازی لینوکس قصد دارید فقط جدیدترین تلاش‌های انجام‌شده برای لاگین را بررسی کنید، می‌توانید برای نظارت بر لاگ‌های احراز هویت از ابزار last استفاده کنید:

last


Output

demoer   pts/1        rrcs-72-43-115-1 Thu Sep  5 19:37   still logged in   

root     pts/1        rrcs-72-43-115-1 Thu Sep  5 19:37 - 19:37  (00:00)    

root     pts/0        rrcs-72-43-115-1 Thu Sep  5 19:15   still logged in   

root     pts/0        rrcs-72-43-115-1 Thu Sep  5 18:35 - 18:44  (00:08)    

root     pts/0        rrcs-72-43-115-1 Thu Sep  5 18:20 - 18:20  (00:00)    

demoer   pts/0        rrcs-72-43-115-1 Thu Sep  5 18:19 - 18:19  (00:00)

این ابزار اطلاعات را به‌صورت قالب‌بندی‌شده و در یک فایل مجزا در مسیر «/etc/log/wtmp» نمایش می‌دهد. اگر به خط اول و سوم خروجی ابزار last نگاه کنید، کاربرانی را مشاهده می‌کنید که در حال حاضر به سیستم وارد شده‌اند. مجموع زمانی که این کاربرها در سیستم لاگین بوده‌اند به‌همراه سشِن‌های (Session) بسته‌شده توسط مقادیر جدا شده نمایش داده می‌شود.

چطور از دستور lastlog استفاده کنیم؟

شما می‌توانید آخرین باری که هر کاربر به سیستم لاگین کرده است را با استفاده از دستور lastlog مشاهده کنید. اگر پس از راه ‌اندازی اولیه سرور ابونتو می‌خواهید ببینید چه کاربرانی به سیستم دسترسی پیدا کرده‌اند، این دستور گزینه مناسبی است. اطلاعات نظارت بر لاگ‌های احراز هویت از طریق دسترسی به فایل «/etc/log/lastlog» نمایش داده می‌شود. این اطلاعات سپس براساس ورودها در فایل‌ «/etc/passwd» مرتب‌سازی می‌شود:

lastlog


Output

Username         Port     From             Latest

root             pts/1    rrcs-72-43-115-1 Thu Sep  5 19:37:02 +0000 2013

daemon                                     **Never logged in**

bin                                        **Never logged in**

sys                                        **Never logged in**

sync                                       **Never logged in**

games                                      **Never logged in**

. . .

شما می‌توانید زمان آخرین ورود هر کاربر در سیستم را مشاهده کنید. همان‌طور که می‌بینید اکثر کاربران سیستم هرگز به سیستم لاگین نکرده‌اند و بنابراین به‌صورت «**Never logged in**» نمایش داده شده‌اند. بسیاری از این اکانت‌های سیستم معمولا به‌صورت مستقیم لاگین نمی‌شوند و این موضوع عادی است.

جمع‌بندی

پس از خرید VPS لینوکس می‌توانید با استفاده از ابزارهایی که در این مقاله بررسی شد، تلاش‌های تمام کاربران برای احراز هویت را مدیریت کنید. این قابلیت انعطاف‌پذیری نسبتا خوبی را برای مدیریت سیستم فراهم می‌کند. روش‌های زیادی برای مدیریت لاگین کاربران وجود دارد که از طریق ابزارهای متنوعی که ابونتو و سایر توزیع‌های مدرن لینوکس ارائه می‌دهند میسر شده است.

نکته مهم این است که متوجه شوید سیستم در چه مکانی اطلاعات مربوط به لاگین را نگهداری می‌کند تا به‌این‌ترتیب به‌سادگی سرور خود را از نظر تغییرات ناخواسته‌ای که ممکن است روی عملکرد آن تاثیر منفی بگذارد، مانیتور کنید.