⚔ Configuration des alertes de connexion anormales avec des scripts sous Linux
Introduction
Ce tutoriel montre comment configurer des alertes de connexion anormales sous Linux en utilisant des scripts Bash et des outils comme Fail2Ban. Ces configurations permettent de détecter et signaler des tentatives de connexion suspectes.
Prérequis
• Une distribution Linux récente (Ubuntu, Fedora, etc.)
• Accès root ou sudo
• Serveur SSH actif
• Familiarité avec les commandes Bash
Méthodologie
Configurer la journalisation des connexions SSH
• Activez les journaux SSH dans le fichier /etc/ssh/sshd_config :
Ajoutez ou modifiez :
• Redémarrez le service SSH :
• Vérifiez les journaux dans /var/log/auth.log (ou /var/log/secure sur certaines distributions).
• Documentation complémentaire : configurer journaux SSH Linux
Créer un script Bash pour détecter les connexions suspectes
• Créez un script pour analyser les journaux SSH :
• Rendez le script exécutable :
• Exécutez le script régulièrement avec Cron :
Ajoutez :
• Documentation complémentaire : script alertes SSH Linux
Configurer Fail2Ban pour bloquer les IP suspectes
• Installez Fail2Ban :
• Configurez Fail2Ban pour surveiller SSH dans /etc/fail2ban/jail.local :
• Redémarrez Fail2Ban :
• Vérifiez l’état de Fail2Ban :
• Plus d’informations : Fail2Ban
Astuce
Utilisez une clé SSH pour réduire les risques liés aux attaques par mot de passe sur votre serveur.
Avertissement
Testez vos configurations Fail2Ban et vos scripts avant de les appliquer sur des environnements critiques.
Conseil
Configurez un système de sauvegarde comme LUKS pour protéger vos journaux et configurations critiques.
Solution alternative
Essayez Zabbix pour une surveillance en temps réel des connexions et des alertes avancées.
Conclusion
Vous avez configuré des alertes pour détecter les connexions suspectes sous Linux à l’aide de scripts Bash et d’outils comme Fail2Ban, améliorant ainsi la sécurité et la surveillance du système.
IntroductionCe tutoriel montre comment configurer des alertes de connexion anormales sous Linux en utilisant des scripts Bash et des outils comme Fail2Ban. Ces configurations permettent de détecter et signaler des tentatives de connexion suspectes.
Prérequis• Une distribution Linux récente (Ubuntu, Fedora, etc.)
• Accès root ou sudo
• Serveur SSH actif
• Familiarité avec les commandes Bash
Méthodologie Configurer la journalisation des connexions SSH• Activez les journaux SSH dans le fichier /etc/ssh/sshd_config :
Code:
sudo nano /etc/ssh/sshd_config
Code:
LogLevel VERBOSE• Redémarrez le service SSH :
Code:
sudo systemctl restart sshd• Vérifiez les journaux dans /var/log/auth.log (ou /var/log/secure sur certaines distributions).
• Documentation complémentaire : configurer journaux SSH Linux
Créer un script Bash pour détecter les connexions suspectes• Créez un script pour analyser les journaux SSH :
Code:
#!/bin/bash
LOG=/var/log/auth.log
grep "Failed password" $LOG | while read line; do
echo "Connexion suspecte détectée : $line" | mail -s "Alerte SSH" admin@example.com
done• Rendez le script exécutable :
Code:
chmod +x /chemin/alertes_connexion.sh• Exécutez le script régulièrement avec Cron :
Code:
crontab -e
Code:
*/15 * * * * /chemin/alertes_connexion.sh• Documentation complémentaire : script alertes SSH Linux
Configurer Fail2Ban pour bloquer les IP suspectes• Installez Fail2Ban :
Code:
sudo apt install fail2ban• Configurez Fail2Ban pour surveiller SSH dans /etc/fail2ban/jail.local :
Code:
[sshd]
enabled = true
port = 22
logpath = /var/log/auth.log
bantime = 3600• Redémarrez Fail2Ban :
Code:
sudo systemctl restart fail2ban• Vérifiez l’état de Fail2Ban :
Code:
sudo fail2ban-client status sshd• Plus d’informations : Fail2Ban
AstuceUtilisez une clé SSH pour réduire les risques liés aux attaques par mot de passe sur votre serveur.
AvertissementTestez vos configurations Fail2Ban et vos scripts avant de les appliquer sur des environnements critiques.
ConseilConfigurez un système de sauvegarde comme LUKS pour protéger vos journaux et configurations critiques.
Solution alternativeEssayez Zabbix pour une surveillance en temps réel des connexions et des alertes avancées.
ConclusionVous avez configuré des alertes pour détecter les connexions suspectes sous Linux à l’aide de scripts Bash et d’outils comme Fail2Ban, améliorant ainsi la sécurité et la surveillance du système.
