Journaux Linux
Authentification et auditd
journalctl, syslog, authentification, auditd et triage d’un serveur Linux compromis.
SSH et sudo
grep -E 'Failed password|Accepted password|Accepted publickey|sudo:' /var/log/auth.log
journalctl -u ssh --since '-24 hours' | grep -E 'Failed|Accepted|Invalid user'
Connexions et comptes
last -Faiwx
lastb -Faiwx # nécessite souvent root
lastlog
getent passwd
getent group sudo
Clés SSH
find /home /root -path '*/.ssh/authorized_keys' -type f -print -exec stat {} \;
auditd
ausearch -ts today -m USER_LOGIN,USER_AUTH
ausearch -ts today -x /usr/bin/sudo
ausearch -ts today -f /etc/passwd
aureport --auth --summary
Règle d'audit exemple
sudo auditctl -w /etc/passwd -p wa -k identity_changes
sudo auditctl -w /etc/sudoers -p wa -k sudoers_changes
Pour la production, gère les règles persistantes dans /etc/audit/rules.d/ et teste leur impact.
À retenir
Une absence dans `last` n'exclut pas une connexion. Corrèle avec SSH, journald, auditd, SIEM et traces réseau.