Tutoriel ⚔ Surveillance des connexions distantes avec journaux système (Linux)

[Sylvain*]

Surveillance des connexions à distance avec les journaux de sécurité pour détecter les tentatives d'intrusion sous Linux

Introduction

Ce tutoriel explique comment surveiller les tentatives de connexion à distance sur un système Linux pour détecter les intrusions potentielles. En utilisant des journaux de sécurité et des outils comme Auditd et Fail2ban, vous pourrez suivre les connexions et configurer des alertes en cas de tentatives d'accès non autorisées.

---

Prérequis

• Distribution Linux avec accès root

• Auditd et Fail2ban installés pour surveiller et bloquer les tentatives d'intrusion

Recherche Google - Surveillance des connexions événements Linux

Support Linux - Sécurisation Debian

---

Méthodologie

Étape 1 : Configurer Auditd pour enregistrer les connexions SSH

• Installez Auditd avec la commande suivante si ce n'est pas déjà fait :

sudo apt install auditd -y

• Pour enregistrer les tentatives de connexion SSH, éditez le fichier de configuration /etc/audit/audit.rules et ajoutez la règle suivante :

-w /var/log/auth.log -p wa -k authentication

• Redémarrez Auditd pour appliquer les changements :

sudo systemctl restart auditd

---

Étape 2 : Configurer Fail2ban pour bloquer les tentatives de connexion répétées

• Installez Fail2ban avec la commande suivante :

sudo apt install fail2ban -y

• Editez le fichier de configuration /etc/fail2ban/jail.local pour activer la surveillance SSH en ajoutant la section suivante :

[sshd]
enabled = true
port = 22
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600

• Redémarrez Fail2ban pour que les modifications prennent effet :

sudo systemctl restart fail2ban

---

Étape 3 : Analyser les tentatives de connexion dans les journaux

• Utilisez la commande suivante pour examiner les tentatives de connexion enregistrées dans les journaux d’authentification :

sudo cat /var/log/auth.log | grep "Failed password"

• Cette commande vous permet de détecter les tentatives de connexion infructueuses, qui peuvent indiquer une tentative d’intrusion.

---

Astuce

Automatisez l’analyse des journaux en utilisant un script shell qui envoie un rapport des tentatives d’accès échouées quotidiennement par email.

---

Avertissement

L’utilisation de Fail2ban est cruciale pour empêcher les attaques par force brute, mais configurez soigneusement les règles pour éviter de bloquer des utilisateurs légitimes.

---

Conseil

Surveillez régulièrement les journaux et ajustez les paramètres de Fail2ban pour qu'ils s'adaptent à la politique de sécurité de votre réseau.

---

Solution alternative

Utilisez Snap pour installer et maintenir à jour des outils de surveillance comme Auditd et Fail2ban pour garantir un suivi efficace des connexions.

---

Conclusion

En suivant ce tutoriel, vous pouvez surveiller les tentatives de connexion à distance sur votre système Linux en utilisant Auditd et Fail2ban. Ces outils vous aident à détecter les tentatives d’intrusion et à protéger votre système contre les accès non autorisés.