Estaba discutiendo con un amigo acerca de los registros en los inicios de sesión de los usuarios. Creo que los registros significan una gran fuente de auditoría para los profesionales de auditoría de TI. ¿Por qué debo iniciar sesión correctamente en mi servidor?
Es tan importante el intento de falla de registro, ya que puedo darme cuenta si alguna persona malintencionada desea ingresar a mi sistema usando fuerza bruta, pero ¿por qué registrar registros exitosos?
Hay algunas razones que vienen a la mente. Mucho de esto depende de lo que haga tu aplicación. ¿Banca en línea? Desea registrar más que un foro de la comunidad sin información sensible o valor monetario. Aplicación de negocios vs público?
1) Dirección IP desde la que el usuario inició sesión. Esto proporcionaría cierta información en caso de que la cuenta estuviera comprometida, y podría ayudar a rastrear a la persona ofensiva.
2) Determine si el usuario pudo iniciar sesión después de intentos fallidos de inicio de sesión. Por ejemplo, 9 intentos fallidos seguidos de uno exitoso significa algo muy diferente a 9 fallidos y luego no se inicia sesión correctamente.
3) Determine cuándo el usuario inició sesión por última vez, por varios motivos, incluso si están usando activamente su cuenta. 5 años desde el último inicio de sesión? No es un usuario activo.
4) Si esta es una aplicación de negocios, entonces desea registrar si alguien accedió a la aplicación o no. Por ejemplo, si sabemos que Bob está fuera del país pero luego accede a la aplicación, eso podría indicar algo sospechoso. "Algo sospechoso" dependerá completamente de la aplicación y de su negocio.
Esas son algunas cosas que vienen a la mente. Personalmente, desde mi experiencia, he utilizado inicios de sesión exitosos varias veces para ayudar con investigaciones internas y externas.
Así sabrá quién inició sesión en el momento en que comenzó un problema.
Una pista de auditoría suele ser una buena idea; Más información es generalmente mejor.
Digamos que está hablando como un inicio de sesión remoto en un sistema informático. Un atacante compromete la cuenta de algunos usuarios y luego hace cosas malas en la computadora, pero no obtiene el control completo del sistema (por ejemplo, no puede falsificar registros). Digamos que lanzan una fork fork que hace que el sistema se congele. En esas situaciones, es posible que desee revisar los registros y ver qué cuenta había iniciado sesión recientemente antes de la bomba de bifurcación para identificar al usuario, de modo que pueda notificar al usuario su cuenta comprometida. (Todavía recomendaría a todos, todas las cuentas cambian las contraseñas cuando se dispara desde la órbita y se reconstruye el sistema a partir de una copia de seguridad).
O tal vez esto es algún tipo de aplicación web. Un usuario nota actividad sospechosa en su cuenta: algo cambió que realmente no recuerda haber cambiado. Un registro de actividad reciente podría ser muy conveniente; especialmente con marcas de tiempo, direcciones IP, etc.
Los sistemas Linux / Unix normalmente le envían un mensaje de inicio de sesión remoto como:
~>$ ssh some_system
Last login: Thu Sep 5 11:54:59 2013 from 123.123.231.321
#
informándole de la última vez que inició sesión en el sistema y de dónde era. Esto puede alertar rápidamente a un usuario cuando se ha accedido de forma inadecuada a su cuenta. (Concedido, lo primero que harían la mayoría de los atacantes sería cambiar la contraseña; pero luego un administrador que aún puede acceder al sistema podría usar lastlog para obtener la misma información).
Desea hacer esto por varias razones, en primer lugar, asegúrese de que todos los registros se almacenan remotamente en un servidor en el que el servidor solo puede escribir (como syslog).