Мониторинг на опити за неоторизиран достъп

Мониторинг на опити за неоторизиран достъп

🔍

Linux системите са популярна цел за злонамерени атаки, затова мониторингът на неоторизиран достъп е от съществено значение за сигурността. В тази статия ще разгледаме методи за откриване на подозрителни дейности, инструменти за мониторинг и най-добри практики за защита.

1. Защо мониторингът на достъпа е важен? 🚨

Неоторизираният достъп може да доведе до:

  • Кражба на данни 📂
  • Компрометиране на системата 🏴‍☠️
  • Използване на сървъра за злонамерени дейности (напр. DDoS атаки) ⚠️

Регулярният мониторинг помага за:

  • Ранно откриване на инциденти ⏳
  • Намаляване на риска от сериозни щети 🛡️
  • Спазване на регулаторни изисквания (GDPR, HIPAA) 📜

2. Ключови места за мониторинг 📂

🔹 1. Логове за удостоверяване (Auth Logs)

Файлът /var/log/auth.log (или /var/log/secure в RHEL-based системи) съдържа записи за:

  • Входове чрез SSH 🔑
  • Команди sudo 🛠️
  • Грешки при удостоверяване ❌

Пример за проверка:

Terminal 
sudo tail -f /var/log/auth.log

🔹 2. SSH логове

Ако системата ви използва SSH, проверявайте:

  • Неуспешни опити за вход (Failed password) 🔒
  • Подозрителни IP адреси 🌐

Пример за филтриране:

Terminal 
grep „Failed password“ /var/log/auth.log

🔹 3. Системни логове (/var/log/syslog)

Съдържа информация за:

  • Стартирани процеси 🖥️
  • Грешки в ядрото ⚠️
  • Мрежови дейности 🌍

🔹 4. Bash история (~/.bash_history)

Показва изпълнени команди от потребителите. Проверявайте за:

  • Подозрителни команди (напр. wgetcurl към неизвестни домейни) 🕵️
  • Изтриване на история (history -c) 🗑️

Пример:

Terminal 
cat ~/.bash_history | grep -E „wget|curl“

🔹 5. Отворени мрежови връзки (netstatss)

Проверка за неоторизирани връзки:

sudo netstat -tulnp
# или
sudo ss -tulnp

3. Инструменти за автоматизиран мониторинг 🛠️

🔸 Fail2Ban 🚫

Блокира IP адреси след многократни неуспешни опити за вход.

Инсталация:

Terminal 
sudo apt install fail2ban # Debian/Ubuntusudo yum install fail2ban # RHEL/CentOS

Конфигурация (/etc/fail2ban/jail.local):

Terminal 
enabled = truemaxretry = 3bantime = 1h

4. Най-добри практики за защита ✅

  1. Използвайте силни пароли и SSH ключове 🔑
    • Забраняване на вход с парола:
Terminal 
sudo sed -i ‘s/PasswordAuthentication yes/PasswordAuthentication no/’ /etc/ssh/sshd_config

Ограничете достъпа чрез SSH 🔒

  • Променете порта (напр. 2222):
Terminal 
sudo sed -i ‘s/#Port 22/Port 2222/’ /etc/ssh/sshd_config

Разрешаване само на определени потребители:

Terminal 
echo „AllowUsers your_user“ | sudo tee -a /etc/ssh/sshd_config

Регулярно актуализирайте системата ⬆️

Terminal 
echo „sudo apt update && sudo apt upgrade -y # Debian/Ubuntusudo yum update -y # RHEL/CentOS
  1. Настройте автоматични известия за подозрителни дейности 📧
    • Използвайте cron + mailutils за изпращане на логове.

5. Заключение 🏁

Мониторингът на неоторизиран достъп в Linux е критичен за сигурността. Чрез комбинация от:
✅ Ръчна проверка на логове
✅ Автоматизирани инструменти (Fail2Ban, OSSEC)
✅ Строги практики за защита

Можете значително да намалите риска от компрометиране. Започнете с прости стъпки като анализ на auth.log и постепенно внедрявайте по-сложни решения.

🔐 Запомнете: Предпазването винаги е по-добро от лечението!

Благодарим ви за прочитането на статията! Ако намерихте информацията за полезна, можете да дарите посредством бутоните по-долу: 🔰