⚔ Tutoriel Linux : Surveillance des tentatives d’accès non autorisées via les journaux de sécurité Linux
▶ Introduction
Ce tutoriel décrit comment surveiller les tentatives d’accès non autorisées sous Linux en utilisant les journaux de sécurité. Sous Linux, les fichiers de log contiennent les détails des tentatives d'accès, et des outils comme auditd et fail2ban permettent de surveiller et de réagir aux activités suspectes. Vous apprendrez à configurer ces outils pour protéger vos dossiers sensibles et suivre les accès aux ressources critiques.
Prérequis
• Distribution Linux avec privilèges sudo
• Paquets auditd et fail2ban installés (
sur les systèmes basés sur Debian)
• Identification des fichiers ou dossiers sensibles à surveiller
Méthodologie
• Installez et configurez auditd pour surveiller les fichiers et dossiers. Démarrez le service avec :
• Ajoutez une règle d’audit pour surveiller un fichier ou un dossier particulier en exécutant :
Cela active la surveillance des lectures, écritures, exécutions et modifications sur le dossier.
• Pour afficher les événements d'accès, utilisez la commande suivante pour filtrer les logs audit :
Cela affiche les journaux d'accès enregistrés avec le mot-clé surveillance_dossier.
• Configurez fail2ban pour réagir aux tentatives d'accès non autorisées. Modifiez le fichier de configuration de fail2ban pour surveiller les logs de connexion (/var/log/auth.log sur Ubuntu). Dans le fichier /etc/fail2ban/jail.local, activez le suivi des connexions SSH en décommentant la section suivante :
Cela bloquera les adresses IP après trois tentatives échouées pour une durée de 10 minutes.
Astuce
Pour surveiller plusieurs dossiers, créez des règles d’audit supplémentaires en utilisant des mots-clés différents, facilitant ainsi l’identification des tentatives d'accès sur des ressources spécifiques.
Avertissement
Les logs d’audit peuvent rapidement se remplir. Configurez une rotation des logs avec logrotate pour éviter de saturer l’espace disque.
Conseil
Intégrez les notifications par email dans fail2ban pour être alerté immédiatement en cas de tentatives d'accès multiples non autorisées, en ajoutant une configuration de messagerie dans fail2ban.
Solution alternative
Envisagez l’utilisation de Elastic SIEM pour une solution de surveillance centralisée et complète, offrant des capacités avancées de journalisation et d’analyse des événements sous Linux.
Conclusion
Vous avez configuré un système de surveillance des tentatives d’accès non autorisées sous Linux, renforçant la sécurité de vos fichiers sensibles et assurant une gestion proactive des accès.
▶ Introduction
Ce tutoriel décrit comment surveiller les tentatives d’accès non autorisées sous Linux en utilisant les journaux de sécurité. Sous Linux, les fichiers de log contiennent les détails des tentatives d'accès, et des outils comme auditd et fail2ban permettent de surveiller et de réagir aux activités suspectes. Vous apprendrez à configurer ces outils pour protéger vos dossiers sensibles et suivre les accès aux ressources critiques.
Prérequis• Distribution Linux avec privilèges sudo
• Paquets auditd et fail2ban installés (
Code:
sudo apt install auditd fail2ban• Identification des fichiers ou dossiers sensibles à surveiller
Méthodologie• Installez et configurez auditd pour surveiller les fichiers et dossiers. Démarrez le service avec :
Code:
sudo systemctl start auditd
Code:
sudo auditctl -w /chemin/vers/dossier -p rwxa -k surveillance_dossier• Pour afficher les événements d'accès, utilisez la commande suivante pour filtrer les logs audit :
Code:
sudo ausearch -k surveillance_dossier• Configurez fail2ban pour réagir aux tentatives d'accès non autorisées. Modifiez le fichier de configuration de fail2ban pour surveiller les logs de connexion (/var/log/auth.log sur Ubuntu). Dans le fichier /etc/fail2ban/jail.local, activez le suivi des connexions SSH en décommentant la section suivante :
Code:
[sshd]
enabled = true
port = ssh
logpath = /var/log/auth.log
bantime = 600
maxretry = 3Pour surveiller plusieurs dossiers, créez des règles d’audit supplémentaires en utilisant des mots-clés différents, facilitant ainsi l’identification des tentatives d'accès sur des ressources spécifiques.
AvertissementLes logs d’audit peuvent rapidement se remplir. Configurez une rotation des logs avec logrotate pour éviter de saturer l’espace disque.
ConseilIntégrez les notifications par email dans fail2ban pour être alerté immédiatement en cas de tentatives d'accès multiples non autorisées, en ajoutant une configuration de messagerie dans fail2ban.
Solution alternativeEnvisagez l’utilisation de Elastic SIEM pour une solution de surveillance centralisée et complète, offrant des capacités avancées de journalisation et d’analyse des événements sous Linux.
ConclusionVous avez configuré un système de surveillance des tentatives d’accès non autorisées sous Linux, renforçant la sécurité de vos fichiers sensibles et assurant une gestion proactive des accès.
