Tutoriel 📝 Protéger les sessions avec la gestion des journaux (Linux)

[Sylvain*]

Protéger les sessions avec la gestion des journaux (Linux)

Introduction

• La gestion des journaux système sous Linux est cruciale pour surveiller les connexions, détecter les tentatives d'accès non autorisées et renforcer la sécurité des sessions. Ce tutoriel explique comment exploiter les logs système et les outils natifs pour analyser et protéger les sessions utilisateur.

---

Prérequis

• Un serveur ou un poste sous Linux (Ubuntu, Debian, CentOS, etc.).

• Un accès en tant qu'utilisateur root ou avec les privilèges sudo.

---

Méthodologie

• Deux approches sont possibles pour gérer les journaux et protéger les sessions :

• Méthode 1 : Utilisation des fichiers de logs natifs (/var/log/auth.log ou /var/log/secure).

• Méthode 2 : Exploitation de Bash et des commandes avancées pour automatiser l'analyse des journaux.

---

Avantages des 2 méthodes

• Méthode 1 : Facilité d'accès et consultation directe des logs.

• Méthode 2 : Automatisation et filtrage avancé via des scripts Bash.

---

Inconvénients des 2 méthodes

• Méthode 1 : Surveillance manuelle fastidieuse.

• Méthode 2 : Nécessite une connaissance des commandes Bash.

---

Étapes pour chaque méthode

Méthode 1 : Consultation des fichiers de logs

Ouvrir un terminal.

Consulter les connexions réussies et les échecs d’authentification :

• Sur Debian/Ubuntu :

sudo cat /var/log/auth.log | grep "session opened"

sudo cat /var/log/auth.log | grep "session closed"

• Sur CentOS/RHEL :

sudo cat /var/log/secure | grep "session opened"

sudo cat /var/log/secure | grep "session closed"

Identifier les tentatives de connexion échouées :

sudo cat /var/log/auth.log | grep "Failed password"

Méthode 2 : Exploitation de Bash pour analyser les logs

Ouvrir un terminal.

Exécuter un script pour surveiller les connexions réussies :

#!/bin/bash
LOG_FILE="/var/log/auth.log"
if [ -f "$LOG_FILE" ]; then
echo "Connexions réussies :"
grep "session opened" "$LOG_FILE"
else
echo "Fichier de log introuvable."
fi

Filtrer les échecs de connexion et les exporter dans un fichier :

#!/bin/bash
LOG_FILE="/var/log/auth.log"
OUTPUT_FILE="/home/user/echecs_connexion.txt"
grep "Failed password" "$LOG_FILE" > "$OUTPUT_FILE"
echo "Les tentatives échouées ont été enregistrées dans $OUTPUT_FILE"

Exécuter ces scripts avec :

sudo bash script.sh

---

Astuce

• Activez la journalisation détaillée en modifiant le fichier /etc/rsyslog.conf et en redémarrant le service :

sudo systemctl restart rsyslog

---

Mise en garde

• Une surcharge de logs peut ralentir le système. Pensez à purger les fichiers anciens avec

logrotate

.

---

Conseil

• Configurez un script automatique pour surveiller les échecs de connexion et envoyer une alerte par email.

---

Solution alternative

• Utiliser des outils comme Fail2ban pour bloquer les tentatives d’accès répétées.

---

Références

• Linux :

• Manuel Auth.log

• Logs sous Debian

---

Conclusion

• L'analyse des journaux sous Linux permet d'identifier les activités suspectes et de renforcer la sécurité des sessions. L'automatisation avec Bash facilite la surveillance proactive du système.