comment identifier si quelqu'un s'est connecte sur mon serveur!

**jeph.net** · 20/02/2012, 08h48

bonhour a tous!j'ai une question:j'ai un serveur "ubuntu" et j'ai peur que quelqu'un connait mon password et je vous voulais demander si c'est possible de connaitre et d'identifier si quelque s'est connecte avec le protocole ssh sur mon serveur!si oui comment je peut connaitre et l'identifier?ou si s'il ya quelquepart dans le system ou se stock tous ce qui se sont connectes au serveur?merci d'avance

**frp31** · 20/02/2012, 09h39

tu peux commencer par regarder dans /var/log/auth.log
et comparer les horaires de connections avec les tiens...

genre si tu dors le 42/février/0603 et entre 32h98 & 34h75 et qu'il y a une connexion à cette heure là ce jour là
quelqu'un a ton password/compte et l'utilise.

première chose à faire en cas de doute changer ton password. avec du bol l'auteur de la connexion va re-tenté de s'en servir et tu veras dans le log un login-failure.

**Eusebius** · 21/03/2012, 17h51

Envoyé par frp31

première chose à faire en cas de doute changer ton password.

Et éventuellement mettre en place une connexion par clé privée (en plus du mot de passe) si tu souhaite augmenter un peu la sécurité.

**zipe31** · 21/03/2012, 18h39

Salut,

Tu peux aussi mettre un script nommé sshrc (avec les droits 755) dans /etc/ssh/ qui t'enverra un mail à chaque connexion ssh sur ton serveur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
#! /bin/bash
 
DATE=$(date "+%d-%m-%Y--%Hh%Mm")
IP=$(echo $SSH_CONNECTION | awk '{print $1}')
REVERSE=$(dig -x $IP +short)
HOSTNAME=$(hostname)
echo "Connexion sur ${HOSTNAME}
IP :		${IP}
REVERSE :	${REVERSE}
Date :		${DATE}
Utilisateur :	${USER}
 
" | mail -s "Connexion sur ${HOSTNAME}" ton_mail@ton_fai.tld

Bien évidemment, ton serveur doit pouvoir envoyer des mails

PS. Si tu n'a pas de serveur de mails de configurer et que tu ne veux pas t'embêter dans la conf de sendmail, postfix ou autres, un truc facile à configurer : email