Ana içeriğe geç
Destek Çevrimiçi
MirrorLooking Glass
RabisuRabisu
Müşteri Paneli
RehberlerBilgi Bankası

Ubuntu Giriş Logları İzleme Rehberi: Sistem Güvenlik ve Yetkilendirme Analizi

Sunucu güvenliğinin temeli görünürlüktür.
Kimin, ne zaman ve nereden giriş yaptığını bilmelisiniz.
Bu rehberle sisteminizi sürekli kontrol altında tutacaksınız.

📌 Teknik Özet

Bu rehber Ubuntu sistemlerde kimlik doğrulama kayıtlarını inceler.
Amaç yetkisiz erişimleri erken tespit etmektir.

İzlenen adımlar:

  • auth.log inceleme
  • Oturum geçmişi analizi
  • Kullanıcı bazlı kontrol
  • Şüpheli giriş filtreleme
  • Güvenlik değerlendirmesi

🚀 Bu Rehberde Ne Öğreneceksiniz?

  • auth.log satırlarını yorumlamayı
  • last ile geçmiş oturumları okumayı
  • lastlog ile kullanıcı takibini
  • Brute-force denemelerini fark etmeyi
  • Canlı log izlemeyi

🛠️ Gereksinimler

Başlamadan önce:

  • Ubuntu 20.04 veya üzeri
  • SSH erişimi
  • sudo yetkisi
  • Temel Linux bilgisi

✅ Adım 1: auth.log Dosyasını Okuma

Bu dosya tüm yetkilendirme kayıtlarını tutar.

Bu komut dosyayı sayfalı açar.

sudo less /var/log/auth.log
  • Aşağıdaki satırlara dikkat edin:

  1. sshd → SSH bağlantıları

  2. Accepted password → Başarılı giriş

  3. Failed password → Hatalı deneme

  4. pam_unix → Oturum kayıtları

  • Çıkmak için q tuşuna basın.

✅ Adım 2: Oturum Geçmişini Görüntüleme (last)

  • Bu komut düzenli giriş raporu üretir.
last

Çıktıda:

  1. Kullanıcı adı

  2. IP adresi

  3. Oturum süresi

  4. Aktif durum

görünür.

  • still logged in ifadesi aktif oturumu gösterir.

✅ Adım 3: Kullanıcı Bazlı Analiz (lastlog)

  • Bu komut tüm kullanıcıları tarar.
lastlog
  • Never logged in sistem hesaplarında normaldir.

Root için beklenmeyen girişler risklidir.

✅ Adım 4: Şüpheli Denemeleri Filtreleme

  1. Başarısız girişleri listeleyin.
grep "Failed password" /var/log/auth.log
  1. Root girişlerini inceleyin.
grep "root" /var/log/auth.log
  • Bu filtreler saldırı tespitinde etkilidir.

✅ Adım 5: Canlı Log Takibi

  1. Bu komut anlık izleme sağlar.
sudo tail -f /var/log/auth.log
  • Şüpheli aktiviteleri anında görürsünüz.

📊 Güvenlik İçin Önerilen Ayarlar

Önerilen önlemler:

  1. Root SSH kapatın

  2. SSH anahtarı kullanın

  3. Fail2Ban kurun

  4. Port değiştirin

  5. Güçlü parola belirleyin

🧩 Sorun Giderme

Log görünmüyorsa:

  1. rsyslog çalışıyor mu bakın

  2. Disk doluluğunu kontrol edin

  3. Dosya izinlerini inceleyin

  4. Rotation ayarlarını kontrol edin

Servis durumu:

systemctl status rsyslog

❓ Sıkça Sorulan Sorular

1. wtmp dosyası nedir? Geçmiş oturum kayıtlarını tutar.

2. auth.log silinirse ne olur? Eski kayıtlar kaybolur. Yeni kayıtlar devam eder.

3. Brute-force saldırısı nasıl anlaşılır? Art arda başarısız denemeler görülür.

4. Loglar diski doldurur mu? Logrotate otomatik temizler.

5. Logları otomatik analiz edebilir miyim? Evet, Fail2Ban ve SIEM araçlarıyla mümkündür.

🎯 Sonuç

Bu rehberle:

Girişleri analiz ettiniz

Riskleri öğrendiniz

Güvenliği artırdınız

Sunucuyu korudunuz

Rabisu Bulut altyapısıyla güvenli, izlenebilir ve yüksek performanslı sunucular kurabilirsiniz. 🚀