Détecter les tentatives d’intrusion sur un serveur Web Linux

Sur un serveur Web, la lecture des logs de connexion est une de nos tâches quotidiennes.

Les logs

Tous les événements de connexion sont tracés, par défaut, dans le fichier /var/log/secure. C’est un fichier texte, déclaré dans le fichier /etc/rsyslog.conf au niveau de la directive auth.*.

Détecter des tentatives d'intrusion sur les serveurs Web LinuxTous les logs sont consignés dans /var/log/wtmp pour les connexions réussies et dans /var/log/btmp pour celles qui ont échoué. L’existence d’un fichier btmp de plusieurs centaines de mégaoctets traduit, en général, des tentatives d’intrusion par ssh. Dans un premier temps, changez le numéro du port dans le fichier /etc/ssh/sshd_config. Puis tâchez de mettre en place un accès par clés au niveau du serveur OpenSSH. J’ai fait un tuto à ce sujet en 2005. Il n’a pas pris une ride.

Les commandes

Rotation des logs

La rotation des logs est prise en charge par logrotate :

Dsfc Dsfc

Détecter les tentatives d’intrusion sur un serveur Web Linux
3 votes, 3.67 avg. rating (77% score)
Tags : , , , , , , , , , , , , , , , , , , , , , , , ,
Commentaires

Pas encore de commentaire.

Désolé, les commentaires sont clos pour le moment.