Местоположение журналов для неудачных попыток входа в систему и журналов перезагрузки системы.

Вопрос или проблема

Где расположен путь к файлу для неудачных попыток входа через SSH и журналов перезагрузки системы в Ubuntu Server 20.04 LTS?

Ответ или решение

В операционной системе Ubuntu Server 20.04 LTS необходимость отслеживания логов неудачных попыток входа по SSH и журналов перезагрузки системы является критически важной задачей для обеспечения безопасности и стабильности сервера. Эти логи помогают администраторам выявлять попытки несанкционированного доступа и отслеживать действия, которые привели к перезагрузке или изменению состояния системы.

Теория

Логи (журналы) в Linux-системах играют ключевую роль в мониторинге и администрировании системы. Они позволяют отслеживать события, предупреждать о проблемах и выявлять злоумышленников. В Ubuntu Server 20.04 LTS подобные логи ведутся в определённых системных файлах, где записываются события, связанные с попытками доступа, изменением статуса системы и другими значимыми действиями.

1. Неудачные попытки входа по SSH: Эти логи обычно содержат информацию о времени входа, IP-адресе субъекта, который попытался подключиться, и возможном сообщении об ошибке. Это важнейший инструмент для выявления попыток грубой силы и других типов атак на сервер.

2. Системные перезагрузки: Журналы перезагрузок системы помогают понять причины снижения доступности сервера, такие как сбой в программном обеспечении, аппаратные неполадки или человеческий фактор.

Примеры и примеры

1. Неудачные попытки входа:

   В Ubuntu Server 20.04 LTS логи обо всех попытках доступа, включая успешные и неуспешные входы по SSH, сохраняются в файле /var/log/auth.log. Этот файл содержит всю необходимую информацию о попытках подключения к системе через SSH, включая дату и время, имя пользователя, который пытался войти, и IP-адрес, с которого производилась попытка.

   Пример записи в /var/log/auth.log для неудачной попытки входа может выглядеть следующим образом:

   Oct 14 12:34:45 your-server sshd[1234]: Failed password for invalid user admin from 192.168.1.100 port 54321 ssh2

   Такое сообщение указывает на то, что попытка входа с указанного IP-адреса была неуспешной и, скорее всего, это была атака на сервер. В таких случаях стоит рассмотреть возможность использования инструментов безопасности, таких как Fail2Ban, для автоматического блокирования IP-адресов.

2. Перезагрузки системы:

   Логи, связанные с перезагрузками системы, хранятся в файле /var/log/syslog, а также подробно могут быть отражены в файле /var/log/kern.log как часть системных или аппаратных сообщений.

   Пример записи о перезагрузке в /var/log/syslog может выглядеть следующим образом:

   Oct 14 12:34:45 your-server systemd[1]: Started reboot.target.

   Такая запись сигнализирует о том, что процесс инициации перезагрузки был начат. Это может быть полезным в случаях, когда вам необходимо отслеживать запланированные или незапланированные перезапуски сервера.

Применение

Для эффективного мониторинга и анализа этих логов администраторы могут использовать различные инструменты и команды:

• Команда tail позволяет просматривать последние записи в логах. Например, чтобы быстро увидеть последние 50 записей в файле авторизации, можно использовать sudo tail -n 50 /var/log/auth.log.

• Для поиска конкретных записей в большом объёме данных применяется grep. Например, чтобы найти все неудачные попытки входа, можно использовать команду grep 'Failed password' /var/log/auth.log.

• Для автоматизации и дополнительно принятия мер безопасности целесообразно использовать Fail2Ban, который на основе логов может конфигурировать правила файрволла и блокировать IP-адреса после определенного количества неуспешных попыток входа.

Таким образом, регулярный аудит логов и применение инструментов для повышения безопасности гарантируют стабильность и неприкосновенность вашей серверной среды. В условиях постоянных угроз кибербезопасности, знание таких аспектов администрирования обеспечивает повышенный уровень защищенности системы.