Surveiller les connexion SSH

evguen · 22/08/2008, 09h39

Bonjour,

je souhaites développer un script Shell qui me permette de surveiller toutes les tentatives de connexion en SSH à un serveur et qui envoi un mail lors d'un échec de connexion.

La seule solution que je vois actuellement, consiste à exécuter dans un cron toutes les minutes un script qui :
- vérifie le nombre de lignes d'un fichier à la :

Code :

  cat /var/log/auth.log | wc -l

- si le nombre de lignes augmente, alors regarder les dernières lignes à la

Code :

  tail --lines XX /var/log/auth.log | grep "error: PAM: Authentication failure"

si la dernière commande retourne des lignes, c'est qu'il y a eu echec d'authentification.

Je pense m'en sortir avec un script de ce genre, mais je me demande s'il n'y a pas meilleure façon de procéder ?

En fait, j'aurais pensé à un script exécuté dans le init.d qui fasse un :

Code :

  tail -f /var/log/auth.log | grep "error: PAM: Authentication failure"

par contre, je ne sais pas alors comment déclencher l'événement d'envoi de mail...

Pourriez-vous me dire si je suis sur la bonne piste concernant la manière de faire ? Où est-ce qu'il y a une autre approche ? Un utilitaire qui existe déjà ?

Si vous pensez que la 2ème méthode est correcte, sauriez-vous comment envoyer un mail lorsque le " tail -f " retourne quelque chose ?

En vous remerciant d'avance

koutbino · 22/08/2008, 14h29

Bonjour,

j'avais le même problème, mais j'ai trouvé un script qui est le suivant:

Fail2ban lit des fichiers de log comme /var/log/pwdfail ou /var/log/apache/error_log et bannit les adresses IP qui ont obtenu un trop grand nombre d'échecs lors de l'authentification. Il met à jour les règles du pare-feu pour rejeter cette adresse IP. Ces règles peuvent êtres défines par l'utilisateur. Fail2ban peut lire plusieurs fichiers de log comme ceux de sshd ou du serveur Apache.

j'espère que ça aide.

gangsoleil · 22/08/2008, 17h30

Bonjour,

Pourquoi ne pas paramétrer un firewall pour n'accepter que certaines IP sur le port 22, ou quelque chose dans le style ?

evguen · 22/08/2008, 17h32

Salut koutbino,

à terme, c'est parfaitement ce qu'il me faut ! Merci !

Je marque le topic comme résolu. Toutefois, si vous avez une idée à donner pour le problème que j'ai énoncé (à savoir envoyer un mail sur un " tail -f "), je suis curieux

Encore merci !

evguen · 22/08/2008, 17h35

Salut gangsoleil,

ton approche est bonne - c'est ce que je fais sur certains de mes serveurs. Pour d'autres, je souhaite pouvoir y accéder de n'importe où.

22/08/2008, 09h39	#1 (permalink)
evguen Futur Membre du Club Date d'inscription: septembre 2006 Messages: 30	Surveiller les connexion SSH Bonjour, je souhaites développer un script Shell qui me permette de surveiller toutes les tentatives de connexion en SSH à un serveur et qui envoi un mail lors d'un échec de connexion. La seule solution que je vois actuellement, consiste à exécuter dans un cron toutes les minutes un script qui : - vérifie le nombre de lignes d'un fichier à la : Code : cat /var/log/auth.log \| wc -l - si le nombre de lignes augmente, alors regarder les dernières lignes à la Code : tail --lines XX /var/log/auth.log \| grep "error: PAM: Authentication failure" si la dernière commande retourne des lignes, c'est qu'il y a eu echec d'authentification. Je pense m'en sortir avec un script de ce genre, mais je me demande s'il n'y a pas meilleure façon de procéder ? En fait, j'aurais pensé à un script exécuté dans le init.d qui fasse un : Code : tail -f /var/log/auth.log \| grep "error: PAM: Authentication failure" par contre, je ne sais pas alors comment déclencher l'événement d'envoi de mail... Pourriez-vous me dire si je suis sur la bonne piste concernant la manière de faire ? Où est-ce qu'il y a une autre approche ? Un utilitaire qui existe déjà ? Si vous pensez que la 2ème méthode est correcte, sauriez-vous comment envoyer un mail lorsque le " tail -f " retourne quelque chose ? En vous remerciant d'avance Dernière modification par ggnore ; 22/08/2008 à 10h23

22/08/2008, 17h30	#3 (permalink)
gangsoleil Modérateur Date d'inscription: mai 2004 Localisation: Grenoble Âge: 28 Messages: 2 642	Bonjour, Pourquoi ne pas paramétrer un firewall pour n'accepter que certaines IP sur le port 22, ou quelque chose dans le style ? __________________ Non au langage SMS Modérateur "C", "Informatique Générale & Hardware" et "Windows, Système & Logiciels" Les règles du forum

22/08/2008, 14h29	#2 (permalink)
koutbino Invité de passage Date d'inscription: août 2008 Messages: 9	Bonjour, j'avais le même problème, mais j'ai trouvé un script qui est le suivant: Fail2ban lit des fichiers de log comme /var/log/pwdfail ou /var/log/apache/error_log et bannit les adresses IP qui ont obtenu un trop grand nombre d'échecs lors de l'authentification. Il met à jour les règles du pare-feu pour rejeter cette adresse IP. Ces règles peuvent êtres défines par l'utilisateur. Fail2ban peut lire plusieurs fichiers de log comme ceux de sshd ou du serveur Apache. j'espère que ça aide.

22/08/2008, 17h32	#4 (permalink)
evguen Futur Membre du Club Date d'inscription: septembre 2006 Messages: 30	Salut koutbino, à terme, c'est parfaitement ce qu'il me faut ! Merci ! Je marque le topic comme résolu. Toutefois, si vous avez une idée à donner pour le problème que j'ai énoncé (à savoir envoyer un mail sur un " tail -f "), je suis curieux Encore merci !

22/08/2008, 17h35	#5 (permalink)
evguen Futur Membre du Club Date d'inscription: septembre 2006 Messages: 30	Salut gangsoleil, ton approche est bonne - c'est ce que je fais sur certains de mes serveurs. Pour d'autres, je souhaite pouvoir y accéder de n'importe où.

		Forum des développeurs > Hardware, Systèmes et Logiciels > Linux > Applications > Shell
Surveiller les connexion SSH

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email