1- Introduction
Et what’s going on guys, C’est Anass 😛 !
Je vais apporter une réponse à une question que j’avais posé sur Twitter « Comment savoir s’il y a des utilisateurs qui ont tenté d’utiliser les privilèges root sur votre système Linux ». Nous allons voir ceci en simulant un utilisateur qui va essayer d’avoir les privilèges root.
On va utiliser Kali Linux pour cet exemple, connectez-vous en tant que root sur un terminal Linux :
Vous pouvez utiliser la commande « whoami » pour voir que vous êtes bien root :
On voit bien que vous êtes root sur le système.
Nous allons maintenant créer un utilisateur en utilisant la commande « adduser » suivi du nom d’utilisateur que vous voulez créer. Dans notre exemple on va l’appeler « bob » et le mot de passe sera également « bob ».
On a créé un utilisateur non root qui s’appelle « bob », maintenant on va se connecter en tant que bob. Pour cela utilisez la commande « su bob ». Puis tapez « whoami » pour voir si vous êtes bien bob.
Bob va essayer d’avoir les privilèges root, pour cela il va taper la commande « sudo su » et entrer son mot de passe. Voici le résultat :
Comme vous pouvez le voir bob n’a pas pu avoir les privilèges root, le message dans le cadre ci-dessus nous indique que « bob n’apparait pas dans le fichier sudoers ». Le sudoers est un fichier qui va définir les utilisateurs qui vont avoir les privilèges root, dans notre cas il a détecté que bob n’a pas accès au privilèges root. Il a signalé l’incident dans un fichier que l’on appelle « log ».
Nous allons voir maintenant comment accéder à ce fichier. Basculez vers l’utilisateur root avec la commande « su – » et déplacez-vous vers le répertoire « /var » avec la commande « cd /var/log/ ». Tapez la commande « ls » pour lister le contenu.
Dans ce répertoire vous avez tous les fichiers log, ce qui nous intéresse c’est le fichier « auth.log » (authenication.log).
Pour voir le contenu du fichier tapez la commande « cat auth.log » :
Vous allez voir toutes les informations de tentatives de login, on peut voir un avertissement qui nous signale que l’utilisateur bob n’est pas dans sudoers.
C’est un fichier très important pour voir si un utilisateur a essayé de se connecter en tant que root, pour un Sys Admin (administrateur de système) ce fichier est très utile pour la sécurité. Il va pouvoir voir les comportements malveillants sur le réseau et système Linux.
Voici pour ce qui en est de la détection d’une intrusion en vérifiant votre fichier d’authentification log. N’oubliez de vous abonner à ma chaine YouTube.
Prenez soin de vous et Peace !
5 Responses
Bonjour,
Merci pour cette info.
J’ai une question : dans le cas d’un ping, ou d’un scan type nmap, est ce qu’il y a un fichier qui garde une trace ?
Merci
Oui les fichiers log bien sûr sur le chemin /var/log … 🙂
bsr sensei,
et sur windows comment soir ca
Comment détecter une intrusion en vérifiant les logs
sous windows
Vous pouvez voir en regardants dans la journalisation, il y a plusieurs thème, sécurité, applications etc
Its like you read my thoughts! You appear to grasp a lot about
this, like you wrote the e book in it or something.
I believe that you can do with a few percent to force the message
home a bit, but instead of that, this is great blog.
A great read. I will certainly be back.