Apakah Anda seorang admin Linux dengan server dan banyak pengguna di bawah pengawasan Anda atau pengguna Linux biasa, selalu baik untuk proaktif dalam mengamankan sistem Anda.
Salah satu cara untuk mengamankan sistem Anda secara aktif adalah dengan memantau login pengguna, terutama pengguna yang sedang login dan login yang gagal atau upaya login.
Mengapa sangat penting Memantau Login di Linux?
Memantau login di sistem Linux Anda merupakan aktivitas penting karena beberapa alasan:
– Compliance: Sebagian besar standar, peraturan, dan pemerintah keamanan TI mengharuskan Anda memantau log agar sesuai dengan praktik industri terbaik.
– Security: Log pemantauan akan membantu Anda meningkatkan keamanan pada sistem Anda karena Anda memiliki visibilitas pada pengguna yang mengakses atau mencoba mengakses sistem Anda. Ini memungkinkan Anda mengambil tindakan pencegahan jika Anda melihat aktivitas login yang tidak diinginkan.
– Troubleshooting: Cari tahu mengapa pengguna mengalami masalah saat masuk ke sistem Anda.
– Auditing trail: Log masuk adalah sumber informasi yang baik untuk audit keamanan TI dan aktivitas terkait.
Ada empat jenis login utama yang harus Anda pantau di sistem Anda: login yang berhasil, login yang gagal, login SSH, dan login FTP. Mari kita lihat bagaimana Anda dapat memantau masing-masing di Linux.
1. Menggunakan Perintah last
last adalah utilitas baris perintah yang kuat untuk memantau login sebelumnya di sistem Anda, termasuk login yang berhasil dan gagal. Selain itu, ini juga menampilkan shutdown sistem, reboot, dan logout.
Cukup buka terminal Anda dan jalankan perintah berikut untuk menampilkan semua informasi login:
sudo last
Anda dapat menggunakan grep untuk memfilter login tertentu. Misalnya, untuk mencantumkan pengguna yang masuk saat ini, Anda dapat menjalankan perintah:
last | grep "logged in"
Anda juga dapat menggunakan perintah w untuk menampilkan pengguna yang masuk dan apa yang mereka lakukan; untuk melakukannya, cukup masukkan w di terminal.
2. Menggunakan Perintah lastlog
Utilitas lastlog menampilkan detail login semua pengguna, termasuk pengguna standar, pengguna sistem, dan pengguna akun layanan.
sudo lastlog
Outputnya berisi semua pengguna, ditampilkan dalam format rapi yang menunjukkan nama pengguna mereka, port yang mereka gunakan, alamat IP asal, dan stempel waktu yang mereka masuki.
Lihat halaman manual lastlog menggunakan perintah man lastlog untuk mempelajari lebih lanjut tentang penggunaan dan opsi perintahnya.
3. Memantau Login SSH di Linux
Salah satu cara paling umum untuk mendapatkan akses jarak jauh ke server Linux adalah melalui SSH. Jika PC atau server Anda terhubung ke internet, Anda harus mengamankan koneksi SSH Anda (dengan menonaktifkan login SSH berbasis kata sandi, misalnya).
Memantau login SSH akan memberi Anda gambaran yang baik tentang apakah ada orang yang mencoba memaksa masuk ke sistem Anda.
Secara default, SSH logging dinonaktifkan pada beberapa sistem. Anda dapat mengaktifkannya dengan mengedit file /etc/ssh/sshd_config. Gunakan salah satu editor teks favorit Anda dan batalkan komentar pada baris LogLevel INFO dan juga edit ke LogLevel VERBOSE. Seharusnya terlihat seperti berikut ini setelah perubahan:
Anda harus memulai ulang layanan SSH setelah melakukan perubahan ini:
sudo systemctl restart ssh
Semua login atau aktivitas SSH sekarang akan dicatat ke file /var/log/auth.log. File tersebut berisi banyak informasi untuk memantau login dan upaya login di sistem Linux Anda.
Anda dapat menggunakan perintah cat atau alat keluaran lainnya untuk membaca konten file auth.log:
cat /var/log/auth.log
Gunakan grep untuk memfilter login SSH tertentu. Misalnya, untuk mencantumkan upaya login yang gagal, Anda dapat menjalankan perintah berikut:
sudo grep "Failed" /var/log/auth.log
Selain melihat upaya login yang gagal, ada baiknya juga melihat pengguna yang login dan mendeteksi jika ada yang mencurigakan, misalnya mantan karyawan.
4. Memantau Login FTP di Linux
FTP adalah protokol yang banyak digunakan untuk mentransfer file antara klien dan server. Anda harus diautentikasi di server untuk dapat mentransfer file.
Karena layanan melibatkan transfer file, pelanggaran keamanan apa pun dapat berdampak serius pada privasi Anda. Untungnya, Anda dapat dengan mudah memantau login FTP dan semua aktivitas terkait lainnya dengan memfilter “FTP” di file /var/log/syslog menggunakan perintah berikut:
grep ftp /var/log/syslog
Pantau Login di Linux untuk Keamanan yang Lebih Baik
Setiap administrator sistem harus proaktif dalam mengamankan sistem mereka. Memantau login Anda dari waktu ke waktu adalah cara terbaik untuk mendeteksi aktivitas yang mencurigakan.
Anda juga dapat menggunakan alat seperti fail2ban untuk secara otomatis melakukan tindakan pencegahan atas nama Anda.
