Détecter les tentatives d’intrusion sur un serveur Web Linux

Sur un serveur Web, la lecture des logs de connexion est une de nos tâches quotidiennes.

Les logs

Tous les événements de connexion sont tracés, par défaut, dans le fichier /var/log/secure. C’est un fichier texte, déclaré dans le fichier /etc/rsyslog.conf au niveau de la directive auth.*.

Détecter des tentatives d'intrusion sur les serveurs Web LinuxTous les logs sont consignés dans /var/log/wtmp pour les connexions réussies et dans /var/log/btmp pour celles qui ont échoué. L’existence d’un fichier btmp de plusieurs centaines de mégaoctets traduit, en général, des tentatives d’intrusion par ssh. Dans un premier temps, changez le numéro du port dans le fichier /etc/ssh/sshd_config. Puis tâchez de mettre en place un accès par clés au niveau du serveur OpenSSH. J’ai fait un tuto à ce sujet en 2005. Il n’a pas pris une ride.

Les commandes

Rotation des logs

La rotation des logs est prise en charge par logrotate :

0.00 avg. rating (0% score) - 0 votes

Sécurité  / btmp Centos Formateur Centos Formateur Linux Formateur Red Hat Formateur Sécurité informatique Linux OpenSsh rsyslog Serveur Web SSH syslog wtmp 

Commentaires

Pas encore de commentaire.

Laisser un commentaire

(requis)

(requis)