O que é
Os auth logs são arquivos onde são contidos as informações referentes a autenticação do linux. Eles são utilizados para verificar as tentativas de login, mudança de senhas, mudanças de privilégios e outras atividades relacionadas à segurança.
Onde encontrar esses arquivos:
- Em distribuições
.deb, podemos encontrar esses arquivos de autenticação no diretório/var/log/auth.log; - Em distribuições baseadas em
Red Hat(Como CentOS, Fedora e RHEL), o arquivo de logs fica em/var/log/secure.
Eventos registrados
Tipos de eventos Registrados:
No auth.log será encontrada uma gama de informação de segurança como:
Tentativas de login:
Sucesso:
Falha
Aug 18 10:15:24 servername sshd[12345]: Accepted password for username from 192.168.0.1 port 22 ssh2
Aug 18 10:15:27 servername sshd[12345]: Failed password for username from 192.168.0.1 port 22 ssh2Acesso via ssh
Tentativas de login, sucesso ou falha, são comuns em auth logs. Incluindo tentativas de acesso root via ssh, o que é algo para prestar atenção, pois pode significar uma tentativa de bruteforce.
Alterações de privilégios:
Quando um usuário usa o comandos sudo para executar um comando, isso fica registrado no log.
Aug 18 10:20:15 servername sudo: username : TTY=pts/0 ; PWD=/home/username ; USER=root ; COMMAND=/bin/lsModificações de contas
Criação, exclusão ou modificação de contas de usuário são eventos registrados.
Aug 18 11:05:36 servername useradd[54321]: new user: name=novousuario, UID=1001, GID=1001, home=/home/novousuario, shell=/bin/bashAlteração de senhas:
Alteração de senhas, tanto bem-sucedidas quanto fracassadas:
Aug 18 12:00:10 servername passwd[98765]: password for 'username' changed by 'root'Tentativas de acesso não autorizado
Ataques de força bruta ou tentativas de acesso não autorizado a partir do endereço IP também são registrados:
Analisando auth logs
É importante revisar regularmente o auth logs para identificar atividades suspeitas.
Comandos úteis:
Visualizar logs em tempo real:
tail -f /var/log/auth.log # .deb
tail -f /var/log/secure #redhatFiltrar pela palavra passe:
grep "failed" /var/log/auth.logVisualizar eventos do sudo:
grep "sudo" /var/log/auth.logcontar o número de tentativas de login falhas:
grep -c "login failed" /var/log/auth.logConfiguração de Logs
O comportamento e a localização dos logs de autenticação podem ser configurados através dos arquivos de configuração de serviços como rsyslog e ssh. O arquivo de configuração típico para o rsyslog é /etc/rsyslog.conf, onde você pode definir onde os logs são armazenados e o nível de detalhamento.