web-dev-qa-db-fra.com

comment simplifier les informations contenues dans /var/log/auth.log

mon /var/log/auth.log contient pas mal de lignes telles que

"reverse mapping checking getaddrinfo for 
 224.51.174.61.dial.wz.zj.dynamic.163data.com.cn [61.174.51.224] failed - 
 POSSIBLE BREAK-IN ATTEMPT!" 
"Failed password for root from 61.174.51.224 port 4227 ssh2"

"reverse mapping checking getaddrinfo for 
 187-101-166-232.dsl.telesp.net.br [187.101.166.232] failed - 
 POSSIBLE BREAK-IN ATTEMPT!"
"Invalid user Admin from 187.101.166.232"

Celles-ci, je peux voir que les pirates ont échoué.

Mais malheureusement, je vois aussi des journaux tels que

Successful su for xxxxxx (my username) by root

Mes questions idiotes sont:

  • À partir du fichier auth.log, comment puis-je savoir que le "succès" a été attribué par moi-même et non par des pirates informatiques susceptibles d'avoir obtenu mes informations de connexion?
  • Comment filtrer le fichier auth.log afin qu'il indique de manière succincte quel utilisateur s'est connecté avec succès, pendant combien de temps et depuis où? Les adresses IP étaient bien dans le fichier auth.log, mais il n'est pas facile de voir si elles ont réellement réussi à s'introduire.
  • Existe-t-il un fichier journal pour vérifier ce que les pirates ont fait?

Merci pour toute illumination.

loginlog
1
water stone

1) À partir de auth.log, comment puis-je savoir que le "succès" a été attribué par moi-même et non par des pirates informatiques susceptibles d'avoir obtenu mes informations de connexion?

Cela briserait le sens des fichiers journaux. Comment votre système devrait-il savoir s’il s’agit d’un pirate informatique qui a réussi à obtenir un su?

2) Comment filtrer le fichier auth.log afin qu’il indique succinctement quel utilisateur a ouvert une session avec succès, pendant combien de temps et depuis où?

C'est à cela que sert le programme last. Il analyse les fichiers /var/log/wmtp et /var/log/utmp, qui contiennent ces informations. Voir:

user@Host:~$ last
root     pts/0        1.2.3.4      Fri Apr  4 07:59   still logged in
root     pts/5        1.2.3.4      Wed Apr  2 15:58 - 17:00  (01:02)
root     pts/0        1.2.3.4      Wed Apr  2 07:39 - 16:15  (08:36)
root     pts/0        1.2.3.4      Tue Apr  1 07:39 - 16:00  (08:20)

De plus, vous pouvez analyser les anciens fichiers wtmp et utmp avec l'option -f: last -f /var/log/wtmp.1.

3) Existe-t-il un fichier journal pour vérifier ce que les pirates ont fait?

Voir la question 1). Lorsqu'un pirate informatique accède à votre système, il IS réussit son authentification. Donc, le système ne sait pas que c'est un pirate informatique. Tout ce que vous pouvez faire est de chercher dans /var/log/* des traces.

2
chaos