Home / Linux / Comment surveiller les connexions SSH de son serveur.

Comment surveiller les connexions SSH de son serveur.

Il est important de surveiller les connexions SSH échouées sur son serveur. Mais je dirais qu’il est aussi important de logger les connexions réussies. Découvrons ensemble comment mettre en place ce suivi avec un mail d’alerte.

Tout d’abord ce tutoriel se déboulera sous une CentOS V6.5. La commande utilisée pour envoyer le message sera mail.

Mail est une commande qui permet d’envoyer des courriels sous Unix. Elle nécessite au préalable que la résolution de nom soit possible via un DNS.

Exemple d’envoi de mail :

#> echo "corps du message" | mail –s "Sujet du mail" adresse@destinataire.com

Le but de ce tutoriel, c’est qu’à chaque démarrage de session en SSH nous ayons un mail pour vérifier qu’une personne non autorisée ne se connecte pas en cachette sur notre serveur.

Nous allons utiliser l’utilitaire mail pour générer notre message d’alerte et surveiller les connexions SSH sur notre serveur. Pour que cette astuce fonctionne il faut créer le fichier sshrc dans le répertoire /etc/ssh/.

Le fichier sshrc est exécuté à chaque démarrage des connexions SSH.

#vim /etc/ssh/sshrc

Rajouter ces lignes dans le fichier sshrc :

ip='echo $SSH_CONNECTION | cut -d " " -f 1'
hostname='hostname'
logger -t ssh-wrapper $USER login from $ip
echo "User $USER just logged in $hostname from $ip" | mail -s "SSH Login" votreadresse@mail.com

Enregistrer le fichier puis déconnectez-vous de votre serveur et reconnectez-vous en SSH. Au bout de quelques instants vous recevrez dans votre boite aux lettres ce message :

Voici une astuce simple à mettre en place sur vos serveurs, pour logger discrètement qui se connecte à vos serveurs.

Astuce!!! Si vous voulez surveiller une personne en particulier, il suffit d’ajouter le script dans le répertoire home de l’utilisateur dans le fichier /user/.ssh/rc

That’s All.

  

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

e4c8902b02b26afbf9211c2a10d5c6fb|||||||||||||||||||||||||||