Retour au cours

audit et logs

Des logs détaillés aident à diagnostiquer et à alerter sur des tentatives suspectes.

objectifs d’apprentissage

  • Activer LogLevel VERBOSE.
  • Lire auth.log.
  • Filtrer par IP/utilisateur.

prérequis

  • Accès root.
  • Système avec journald/syslog.

notions clés

  • journalctl -u ssh.
  • /var/log/auth.log.
  • Failed password, Accepted publickey.

démonstration guidée

étape 1

Activer une verbosité plus élevée côté serveur.

echo 'LogLevel VERBOSE' | sudo tee -a /etc/ssh/sshd_config
sudo systemctl reload sshd || sudo service ssh reload

étape 2

Filtrer des logs d’authentification.

sudo journalctl -u ssh --since "1 hour" | grep -Ei "Failed|Accepted" || sudo tail -n 200 /var/log/auth.log

exercice

Repérez une adresse IP ayant échoué 5 fois et bloquez-la temporairement (concept).

correction

Blocage via pare-feu (exemple).

sudo iptables -A INPUT -s 198.51.100.77 -j DROP || sudo ufw deny from 198.51.100.77 to any

quiz éclair

  1. Quel LogLevel augmente le détail des logs ?
  • a) VERBOSE
  • b) QUIET
  • c) DEBUG3 côté client uniquement

ressources

Sujets abordés