Stavo discutendo con un amico sui log negli accessi degli utenti. Penso che i registri significhi una grande fonte di controllo per i professionisti dell'audit IT. Perché dovrei registrare i log-in riusciti sul mio server?
È così importante registrare i tentativi di errore di registro perché posso capire se una persona malintenzionata vuole entrare nel mio sistema usando la forza bruta, ma perché registrare registri di successo?
Ci sono alcuni motivi che mi vengono in mente. Molto dipende da cosa fa la tua app. Banca online? Si desidera registrare più di un forum della comunità senza informazioni sensibili o valore monetario. Business app vs pubblico?
1) Indirizzo IP da cui l'utente ha effettuato l'accesso. Ciò fornirebbe alcune informazioni nel caso in cui l'account fosse compromesso e potrebbe aiutare a rintracciare la persona incriminata.
2) Determina se l'utente è stato in grado di accedere dopo tentativi di accesso non riusciti. Ad esempio, 9 tentativi falliti seguiti da uno riuscito significa qualcosa di molto diverso da 9 non riuscito e quindi nessun login riuscito.
3) Determina quando l'utente ha effettuato l'ultimo accesso, per vari motivi, incluso se sta utilizzando attivamente il proprio account. 5 anni dall'ultimo accesso? Non è un utente attivo.
4) Se si tratta di un'app aziendale, è necessario registrare se qualcuno ha effettuato l'accesso o meno all'applicazione. Ad esempio, se sappiamo che Bob è fuori dal paese ma poi accede all'applicazione, ciò potrebbe indicare qualcosa di sospetto. "Something fishy" dipenderà interamente dall'applicazione e dalla tua attività.
Queste sono alcune cose che ti vengono in mente. Personalmente, grazie alla mia esperienza, ho utilizzato accessi di successo numerose volte per aiutare nelle indagini interne ed esterne.
Quindi saprai chi è stato registrato al momento dell'avvio di un problema.
Una pista di controllo è solitamente una buona idea; più informazioni sono generalmente migliori.
Diciamo che stai parlando come un accesso remoto a un sistema informatico. Un utente malintenzionato compromette l'account di alcuni utenti e quindi fa cose cattive sul computer, ma non ottiene il controllo completo del sistema (ad esempio, non può falsificare i log). Diciamo che lanciano una bomba a forcella che causa il blocco del sistema. In tali situazioni, potresti eventualmente controllare i registri e vedere quale account ha effettuato l'accesso di recente prima dell'inizio del bombardamento per identificare l'utente, in modo che tu possa informare l'utente del loro account compromesso. (Consiglio ancora a tutti tutti gli account di modificare le password quando si nuke dall'orbita e ricostruire il sistema da un backup sicuro).
O forse questa è una sorta di applicazione web. Un utente nota attività sospette sul proprio account - qualcosa è cambiato e in realtà non ricorda il cambiamento. Un registro delle attività recenti potrebbe essere molto conveniente; in particolare con timestamp, indirizzi IP, ecc.
I sistemi Linux / Unix tipicamente ti danno un messaggio sul login remoto come:
~>$ ssh some_system
Last login: Thu Sep 5 11:54:59 2013 from 123.123.231.321
#
che ti informa dell'ultima volta che hai effettuato l'accesso al sistema e da dove proviene. Questo può avvisare rapidamente un utente quando il suo account è stato visitato in modo inappropriato. (La prima cosa che la maggior parte degli attaccanti farebbe è cambiare la password, ma un amministratore che può ancora accedere al sistema potrebbe usare lastlog per ottenere le stesse informazioni.)
Si desidera farlo per diversi motivi, prima di tutto assicurarsi che tutti i registri siano memorizzati in remoto su un server a cui il server può solo scrivere (come syslog).