Discussion :

[evguen]

Bonjour,

je souhaites développer un script Shell qui me permette de surveiller toutes les tentatives de connexion en SSH à un serveur et qui envoi un mail lors d'un échec de connexion.

La seule solution que je vois actuellement, consiste à exécuter dans un cron toutes les minutes un script qui :
- vérifie le nombre de lignes d'un fichier à la :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

  cat /var/log/auth.log | wc -l

- si le nombre de lignes augmente, alors regarder les dernières lignes à la

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

  tail --lines XX /var/log/auth.log | grep "error: PAM: Authentication failure"

si la dernière commande retourne des lignes, c'est qu'il y a eu echec d'authentification.

Je pense m'en sortir avec un script de ce genre, mais je me demande s'il n'y a pas meilleure façon de procéder ?

En fait, j'aurais pensé à un script exécuté dans le init.d qui fasse un :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

  tail -f /var/log/auth.log | grep "error: PAM: Authentication failure"

par contre, je ne sais pas alors comment déclencher l'événement d'envoi de mail...

Pourriez-vous me dire si je suis sur la bonne piste concernant la manière de faire ? Où est-ce qu'il y a une autre approche ? Un utilitaire qui existe déjà ?

Si vous pensez que la 2ème méthode est correcte, sauriez-vous comment envoyer un mail lorsque le " tail -f " retourne quelque chose ?

En vous remerciant d'avance

[koutbino]

Bonjour,

j'avais le même problème, mais j'ai trouvé un script qui est le suivant:

Fail2ban lit des fichiers de log comme /var/log/pwdfail ou /var/log/apache/error_log et bannit les adresses IP qui ont obtenu un trop grand nombre d'échecs lors de l'authentification. Il met à jour les règles du pare-feu pour rejeter cette adresse IP. Ces règles peuvent êtres défines par l'utilisateur. Fail2ban peut lire plusieurs fichiers de log comme ceux de sshd ou du serveur Apache.

j'espère que ça aide.

[gangsoleil]

Bonjour,

Pourquoi ne pas paramétrer un firewall pour n'accepter que certaines IP sur le port 22, ou quelque chose dans le style ?

[evguen]

Salut koutbino,

à terme, c'est parfaitement ce qu'il me faut ! Merci !

Je marque le topic comme résolu. Toutefois, si vous avez une idée à donner pour le problème que j'ai énoncé (à savoir envoyer un mail sur un " tail -f "), je suis curieux

Encore merci !

[evguen]

Salut gangsoleil,

ton approche est bonne - c'est ce que je fais sur certains de mes serveurs. Pour d'autres, je souhaite pouvoir y accéder de n'importe où.