Blue Team Field NotesDFIR · SOC · Vulnerability Management
Journaux Linux

Authentification et auditd

journalctl, syslog, authentification, auditd et triage d’un serveur Linux compromis.

SSH et sudo

grep -E 'Failed password|Accepted password|Accepted publickey|sudo:' /var/log/auth.log
journalctl -u ssh --since '-24 hours' | grep -E 'Failed|Accepted|Invalid user'

Connexions et comptes

last -Faiwx
lastb -Faiwx   # nécessite souvent root
lastlog
getent passwd
getent group sudo

Clés SSH

find /home /root -path '*/.ssh/authorized_keys' -type f -print -exec stat {} \;

auditd

ausearch -ts today -m USER_LOGIN,USER_AUTH
ausearch -ts today -x /usr/bin/sudo
ausearch -ts today -f /etc/passwd
 aureport --auth --summary

Règle d'audit exemple

sudo auditctl -w /etc/passwd -p wa -k identity_changes
sudo auditctl -w /etc/sudoers -p wa -k sudoers_changes

Pour la production, gère les règles persistantes dans /etc/audit/rules.d/ et teste leur impact.

À retenir

Une absence dans `last` n'exclut pas une connexion. Corrèle avec SSH, journald, auditd, SIEM et traces réseau.

Références officielles