⚔ Tutoriel Linux : Surveillance des tentatives de connexion pour identifier les activités suspectes avec auditd et fail2ban
▶ Introduction
Ce tutoriel vous montre comment surveiller les tentatives de connexion sous Linux en utilisant auditd et fail2ban pour détecter les activités suspectes. Auditd capture les événements de connexion, tandis que fail2ban peut bloquer les adresses IP après plusieurs tentatives de connexion échouées, offrant une sécurité accrue pour votre système.
Prérequis
• Distribution Linux avec privilèges sudo (Ubuntu, Debian, CentOS, etc.)
• Paquets auditd et fail2ban installés (
pour les distributions Debian/Ubuntu)
• Connaissance de base des logs Linux pour analyser les tentatives de connexion
Méthodologie
• Commencez par configurer auditd pour surveiller les tentatives de connexion. Activez et démarrez le service avec :
• Ajoutez une règle d’audit pour capturer les tentatives de connexion SSH, en ajoutant la règle suivante :
Cette commande surveille le fichier /var/log/auth.log et enregistre les tentatives de connexion avec le mot-clé connexion_ssh.
• Pour visualiser les tentatives de connexion, utilisez la commande :
Cela permet de voir tous les événements de connexion liés au SSH dans les logs, facilitant l’identification des tentatives suspectes.
• Configurez fail2ban pour bloquer automatiquement les adresses IP après plusieurs tentatives de connexion échouées. Modifiez le fichier de configuration /etc/fail2ban/jail.local et activez la surveillance SSH :
Cela bloquera une adresse IP pour 10 minutes après trois tentatives échouées.
• Redémarrez fail2ban pour appliquer les modifications :
Astuce
Utilisez la commande fail2ban-client status sshd pour visualiser les IP actuellement bannies et surveiller l’efficacité de fail2ban en temps réel.
Avertissement
Une configuration stricte de fail2ban peut entraîner le blocage temporaire d’utilisateurs légitimes. Ajustez maxretry et bantime en fonction de votre environnement.
Conseil
Pour une sécurité renforcée, activez des notifications par e-mail dans fail2ban pour être alerté à chaque tentative de connexion suspecte ou bannissement d’IP.
Solution alternative
Envisagez l’utilisation de OSSEC, un système de détection d'intrusions open-source, offrant une surveillance avancée et une analyse des tentatives de connexion sur Linux.
Conclusion
Avec auditd et fail2ban, vous avez configuré un système de surveillance des tentatives de connexion sous Linux, protégeant ainsi votre environnement contre les accès non autorisés et identifiant les activités suspectes.
▶ Introduction
Ce tutoriel vous montre comment surveiller les tentatives de connexion sous Linux en utilisant auditd et fail2ban pour détecter les activités suspectes. Auditd capture les événements de connexion, tandis que fail2ban peut bloquer les adresses IP après plusieurs tentatives de connexion échouées, offrant une sécurité accrue pour votre système.
Prérequis• Distribution Linux avec privilèges sudo (Ubuntu, Debian, CentOS, etc.)
• Paquets auditd et fail2ban installés (
Code:
sudo apt install auditd fail2ban• Connaissance de base des logs Linux pour analyser les tentatives de connexion
Méthodologie• Commencez par configurer auditd pour surveiller les tentatives de connexion. Activez et démarrez le service avec :
Code:
sudo systemctl enable auditd
sudo systemctl start auditd
Code:
sudo auditctl -w /var/log/auth.log -p wa -k connexion_ssh• Pour visualiser les tentatives de connexion, utilisez la commande :
Code:
sudo ausearch -k connexion_ssh• Configurez fail2ban pour bloquer automatiquement les adresses IP après plusieurs tentatives de connexion échouées. Modifiez le fichier de configuration /etc/fail2ban/jail.local et activez la surveillance SSH :
Code:
[sshd]
enabled = true
port = ssh
logpath = /var/log/auth.log
bantime = 600
maxretry = 3• Redémarrez fail2ban pour appliquer les modifications :
Code:
sudo systemctl restart fail2banUtilisez la commande fail2ban-client status sshd pour visualiser les IP actuellement bannies et surveiller l’efficacité de fail2ban en temps réel.
AvertissementUne configuration stricte de fail2ban peut entraîner le blocage temporaire d’utilisateurs légitimes. Ajustez maxretry et bantime en fonction de votre environnement.
ConseilPour une sécurité renforcée, activez des notifications par e-mail dans fail2ban pour être alerté à chaque tentative de connexion suspecte ou bannissement d’IP.
Solution alternativeEnvisagez l’utilisation de OSSEC, un système de détection d'intrusions open-source, offrant une surveillance avancée et une analyse des tentatives de connexion sur Linux.
ConclusionAvec auditd et fail2ban, vous avez configuré un système de surveillance des tentatives de connexion sous Linux, protégeant ainsi votre environnement contre les accès non autorisés et identifiant les activités suspectes.
