Monitoring neuspešnih pokušaja logovanja na Linux server

Uzastopni pokušaji logovanja na Linux server mogu da znače da neko pokušava da provali u vaš nalog, ali može da znači i da je neko jednostavno zaboravio svoju lozinku ili je pogrešno ukucava. Koji god da je razlog dobro je da na vreme budete obavešteni o tome. U  ovom tekstu ćemo objasniti kako da radite monitoring neuspešnih pokušaja logovanja na Linux server.

Jedna od prvih stvari koju treba da uradite je da proverite da li su logovanja nesupešna. Komanda ispod traži indikatore neuspešnih logovanja u var/log/auth.log fajlu koji se koristi na Ubuntu i sličnim sistemima.

Kada neko pokuša logovanje sa pogrešnom ili pogrešno ukucanom lozinkom, neuspešna logovanja će se pojaviti ovako:

$ sudo grep "Failed password" /var/log/auth.log | head -3
Nov 17 15:08:39 localhost sshd[621893]: Failed password for nemo from 192.168.0.7 port 8132 ssh2
Nov 17 15:09:13 localhost sshd[621893]: Failed password for nemo from 192.168.0.7 port 8132 ssh2

Možete i sumarno prikazati sva neuspešna logovanja po nalogu pomoću sledeće komande:

$ sudo grep "Failed password" /var/log/auth.log | grep -v COMMAND | awk '{print $9}' | sort | uniq -c
22 nemo
1 shs
2 times:

Ova komanda obuhvata neuspešna logovanja po korisničkom imenu. String times sugeriše da da je bilo više uzastopnih pokušaja od prijavljenog broja.

Još jedna stvar koju želite da proverite je odakle dolaze ti neuspešni pokušaji logovanja. Da biste to uradili potrebno je da promenite polje na koje se fokusirate, od devet do jedanaest, kao u ovom primeru:

$ sudo grep "Failed password" /var/log/auth.log | grep -v COMMAND | awk '{print $11}' | sort | uniq -c
23 192.168.0.7

Posebno može biti sumnjivo ako na primer vidite neuspešna logovanja za više naloga / korisnika sa jednog sistema. U RHEL, Centos i sličnim sistemima, poruke koje se odnose na nauspešna logovanja možete pronaći u var/log/secure fajlu. Praktično možete koristiti isti upit kao ovaj iznad da dobijete broj. Samo promenite naziv fajla kao u ovom primeru:

$ sudo grep "Failed password" /var/log/secure | awk '{print $9}' | sort | uniq -c
6 nemo

Faillog komanda

Možete proveriti i faiilog komandu ali ova komanda gleda u /var/log/faillog fajl koji se danas retko koristi. Ako koristite komandu faillog -a i dobijete izlaz kao ovaj prikazan ispod koji ispisuje12/31/69, jasno je da pomenuti fajl nije u upotrebi na tom konkretnom sistemu.

$ faillog -a
Login Failures Maximum Latest On

root 0 0 12/31/69 19:00:00 -0500
daemon 0 0 12/31/69 19:00:00 -0500
bin 0 0 12/31/69 19:00:00 -0500
sys 0 0 12/31/69 19:00:00 -0500

Datumi i vremena prikazani na izlazu se odnose na početke Unix-a (01/01/70)-- verovatno ispravljeni za lokalnu vremensku zonu. Ako pokrenete komandu prikazanu ispod, možete videti da fajl nije prazan, ali da ne sadrži prave podatke:

$ ls -l /var/log/faillog
-rw-r--r-- 1 root root 32576 Nov 12 12:12 /var/log/faillog
$ od -bc /var/log/faillog
0000000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000
\0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0
*
0077500

Ako je faillog zaista u upotrebi, trebalo bi da vidite nedavne aktivnosti i to bez referenci na 1969.

Kako da odgovorite

Neuspešna logovanja se mogu javiti iz raznih razloga. Može biti da je jedan od vaših korisnika pokušao logovanje sa uključenim caps lock-om, a da to nije priimetio. Možda je neko nedavno promenio lozinku i zaboravio da je to uradio, pa pokušava da se uloguje sa starom lozinkom. Možda pokušava da se uloguje sa loznikom koju koristi za logovanje na neki drugi sistem. Ukoliko se neki određeni nalog često pojavljuje u rezultatima vaših upita, možda treba da obratite pažnu na to. Sa drudge strane, povremena neuspešna logovanja su sasvim normalna pojava, pa to ne bi trebalo da vas brine.

Proverite svoja podešavanja

Da biste proverili da li je vaš sistem podešen da odreagujete na neuspešna logovanja, proverite /etc/pam.d/common-auth fajl. Koristi se na sistemima sa Linux Pluggable Authentication Modules (PAM). Dva podešavanja u ovom fajlu kontrolišu koliko neuspešnih pokušaja logovanja će biti dozvoljeno pre nego se nalog privremeno zaključa i koliko dugo će biti zaključan.

Linija kao ova ispod će zaključati nalog nakon šest neuspešnih pokušaja logovanja. Zaključavanje će trajati pet minuta (300 sekundi).

auth required pam_tally2.so deny=6 unlock_time=300

Zaključak

Povremena neuspešna logovanja su nešto što možete očekivati, ali je ipak dobra ideja da budete upoznati na koji način je konfigurisan vaš sistem i da povremeno pokrenet neke od upita koje smo predstavili u ovom tekstu. Jedan od dobrih načina da unapred definišete izvršavanje ovih upita je da ih pokrenete kao cron job.i podesiti da izveštaj stiže na vaš email. Sve zbog toga što je Monitoring neuspešnih pokušaja logovanja važan u vašem svakodnevnom radu sa Linux sistemom.