Tutoriel 📝 Suivi des connexions interactives sous Linux pour détecter les anomalies

[Sylvain*]

Suivi des connexions interactives sous Linux pour détecter les anomalies

Introduction

• Ce tutoriel explique comment surveiller les connexions utilisateurs sous Linux en exploitant les journaux système et des outils d’analyse avancés.

---

Prérequis

• Un serveur ou poste sous Linux (Debian, Ubuntu, CentOS…)

• Accès root ou sudo

• Outils : journalctl, last, faillog, auth.log

---

Méthodologie

• Méthode 1 : Consultation des journaux avec journalctl et auth.log

• Méthode 2 : Analyse avancée avec auditd

---

Étapes pour chaque méthode

Méthode 1 : Vérification des connexions avec journalctl et auth.log


Afficher les connexions réussies :

journalctl -u ssh --since "1 day ago"

Examiner les échecs d’authentification :

cat /var/log/auth.log | grep "Failed password"

Méthode 2 : Analyse avancée avec auditd

Installer auditd si nécessaire :

sudo apt install auditd -y

Activer la surveillance des connexions :

sudo auditctl -w /var/log/auth.log -p wa -k connexions_utilisateur

Vérifier les événements enregistrés :

sudo ausearch -k connexions_utilisateur --start today

---

Astuce

• Automatisez la détection des connexions suspectes avec un script d’alerte.

---

Références

• Arch Linux - Audit Framework

• Debian Security Guide

---

Conclusion

• Surveiller les connexions sous Linux est essentiel pour détecter rapidement les tentatives d’intrusion et sécuriser le système.