بررسی لاگها یکی از مهمترین کارها در مدیریت سرور اختصاصی است. این کار به مدیر سرور کمک میکند وضعیت امنیتی سیستم را بهتر کنترل کند.
مرحله اول: آشنایی با مفهوم لاگها در سرور اختصاصی لینوکس
لاگها فایلهایی هستند که تمام رویدادهای مهم سرور اختصاصی را بهصورت خودکار ثبت میکنند. هر بار که کاربری وارد سرور میشود، سرویسی اجرا میشود، خطایی رخ میدهد یا تغییری در سیستم ایجاد میشود اطلاعات آن در لاگها ذخیره میشود. این فایلها برای مدیر سرور نقش یک گزارش دقیق را دارند و کمک میکنند وضعیت امنیتی سرور همیشه قابل بررسی باشد. در سرورهای لینوکسی بیشتر لاگهای مهم در مسیر /var/log قرار دارند و هر فایل مربوط به بخش خاصی از سیستم است.
مرحله دوم: بررسی لاگهای ورود کاربران به سرور
یکی از مهمترین بخشهای بررسی امنیت سرور اختصاصی کنترل لاگهای مربوط به ورود کاربران است. این لاگها نشان میدهند چه کاربری با چه آیپی و در چه زمانی وارد سرور شده است یا تلاش کرده وارد شود. با بررسی این اطلاعات مدیر سرور میتواند ورودهای غیرعادی یا مشکوک را شناسایی کند. در اکثر توزیعهای لینوکس فایل auth.log یا secure برای ثبت این اطلاعات استفاده میشود و بررسی منظم آن باعث افزایش امنیت سرور میشود.
دستور مشاهده لاگ ورود کاربران به شکل کامل به صورت زیر است:
cat /var/log/auth.log
مرحله سوم: شناسایی تلاشهای ناموفق برای ورود به سرور
در بسیاری از حملات امنیتی مهاجمان با امتحان کردن رمزهای مختلف تلاش میکنند به سرور دسترسی پیدا کنند. این تلاشها معمولاً بهصورت ورود ناموفق در لاگها ثبت میشوند. اگر تعداد این پیامها زیاد باشد نشاندهنده یک حمله احتمالی است. مدیر سرور با بررسی این بخش میتواند قبل از نفوذ واقعی اقدامات امنیتی لازم را انجام دهد و دسترسیهای مشکوک را مسدود کند.
برای مشاهده تلاشهای ناموفق ورود میتوان از دستور زیر استفاده کرد:
grep "Failed password" /var/log/auth.log
مرحله چهارم: بررسی لاگ سرویسها و نرمافزارهای فعال روی سرور
هر سرویسی که روی سرور اختصاصی اجرا میشود مانند وبسرور یا دیتابیس فایل لاگ مخصوص خود را دارد. این لاگها خطاها، مشکلات فنی و رفتارهای غیرعادی سرویس را ثبت میکنند. بررسی این فایلها به مدیر سرور کمک میکند مشکلات امنیتی یا تنظیمات اشتباه را سریعتر شناسایی کند. برای مثال در وبسرور آپاچی فایل لاگ خطا اطلاعات دقیقی از درخواستهای ناموفق و خطاهای مشکوک ارائه میدهد.
دستور بررسی لاگ خطای وبسرور آپاچی به صورت زیر است:
cat /var/log/apache2/error.log
مرحله پنجم: مانیتورینگ لحظهای لاگها برای تشخیص سریع تهدیدها
مانیتورینگ لحظهای لاگها به این معنی است که مدیر سرور بتواند رویدادها را همزمان با ثبت شدن مشاهده کند. این روش برای شناسایی سریع حملات و خطاهای امنیتی بسیار مهم است. زمانی که سرور تحت حمله قرار میگیرد پیامهای مربوط به آن بلافاصله در لاگها دیده میشوند و مدیر سرور میتواند سریع واکنش نشان دهد. ابزار tail یکی از سادهترین روشها برای این کار است.
دستور مانیتورینگ لحظهای لاگ به شکل زیر استفاده میشود:
tail -f /var/log/auth.log
مرحله ششم: تشخیص رفتارهای مشکوک از روی لاگها
رفتار مشکوک در لاگها میتواند شامل ورودهای مکرر ناموفق، اجرای دستورات غیرعادی یا درخواستهای غیرمعمول به سرویسها باشد. این نشانهها معمولاً قبل از بروز یک مشکل جدی امنیتی ظاهر میشوند. بررسی دقیق لاگها به مدیر سرور این امکان را میدهد که الگوهای غیرطبیعی را شناسایی کند و از سوءاستفاده جلوگیری کند. این مرحله نقش مهمی در حفظ امنیت سرور اختصاصی دارد.
برای نمونه در تصویر پایین، آیپیهایی که رمز عبور را اشتباه وارد کردهاند بهصورت نمودار نزولی نمایش داده شدهاند.
مرحله هفتم: مدیریت و کنترل حجم فایلهای لاگ
فایلهای لاگ با گذشت زمان بزرگ میشوند و اگر مدیریت نشوند میتوانند فضای دیسک سرور را اشغال کنند. برای جلوگیری از این مشکل از ابزارهای مدیریت لاگ استفاده میشود که لاگهای قدیمی را فشرده یا حذف میکنند. این کار باعث نظم در سرور میشود و همچنین از مشکلات مربوط به کمبود فضای دیسک جلوگیری میکند. در لینوکس ابزار logrotate برای این هدف استفاده میشود.
دستور مشاهده تنظیمات مدیریت لاگ به صورت زیر است:
cat /etc/logrotate.conf
افزایش امنیت سرور اختصاصی با بررسی منظم لاگها
بررسی منظم لاگها یکی از سادهترین و در عین حال مؤثرترین روشها برای افزایش امنیت سرور اختصاصی است. مدیر سرور با این کار میتواند مشکلات را قبل از تبدیل شدن به تهدید جدی شناسایی کند. انجام این بررسی بهصورت دورهای باعث میشود کنترل کاملی روی وضعیت امنیتی سرور وجود داشته باشد و ریسک نفوذ به حداقل برسد.
بررسی و مانیتورینگ لاگها بخش مهمی از مدیریت امنیت سرور اختصاصی است. با این کار میتوان تهدیدها را زودتر شناسایی و از بروز مشکلات جدی جلوگیری کرد.