Découvrez qui se connecte à vos serveurs Linux

Découvrez qui se connecte à vos serveurs Linux

La sécurité des serveurs Linux est une préoccupation majeure pour les administrateurs système. Savoir qui se connecte à vos serveurs et à quelle fréquence peut vous aider à détecter des activités suspectes et à protéger vos données sensibles. Heureusement, il existe quelques commandes Linux qui permettent de visualiser facilement les utilisateurs qui se connectent à vos serveurs, la fréquence de leurs connexions et leur temps d’activité ou d’inactivité.

Les fichiers de log de connexion

Les connexions Linux sont enregistrées dans un fichier de log appelé « wtmp ». Ce fichier contient des informations sur les connexions passées. La bonne nouvelle est que tout le monde peut lire ce fichier, vous n’avez donc pas besoin d’être root pour obtenir les données. Vous pouvez vérifier les permissions du fichier en utilisant la commande suivante :

Cette commande affichera les permissions du fichier. Notez que tout le monde a le droit de lecture, mais seuls root et les membres du groupe privilégié peuvent écrire dans le fichier.

Visualiser les connexions

Pour visualiser les connexions enregistrées dans le fichier « wtmp », vous pouvez utiliser la commande who. Cependant, sur un serveur occupé, vous obtiendrez facilement des centaines de lignes de sortie. Pour limiter les résultats, vous pouvez utiliser la commande complétée par la commande head :

Cette commande affichera les premières lignes de la sortie de la commande « who ». Vous pouvez ainsi obtenir un aperçu des connexions récentes.

Compter les connexions

Si vous souhaitez connaître le nombre total de connexions enregistrées, vous pouvez utiliser la commande wc -l. Par exemple, pour compter le nombre de connexions enregistrées :

Cette commande vous donnera le nombre total de connexions enregistrées dans le fichier « wtmp ».

Voir les connexions par utilisateur

Pour obtenir une vue détaillée des utilisateurs qui se connectent à vos serveurs et de la fréquence de leurs connexions, vous pouvez utiliser la commande suivante :

Cette commande trie les lignes du fichier, ne conserve que le premier champ (le nom d’utilisateur) et compte le nombre de lignes pour chaque utilisateur. Vous pouvez même créer un alias pour cette commande afin de l’utiliser plus facilement :

Cette commande ne vous donne pas la durée de chaque connexion, mais elle vous donne une idée de l’utilisation du système par les utilisateurs.

Voir la durée des connexions

Pour connaître la durée des connexions actuelles des utilisateurs, vous pouvez utiliser la commande last :

Cette commande affiche la dernière connexion de l’utilisateur spécifié ainsi que la durée de sa connexion.

La commande w vous permet de voir quand les utilisateurs actuels se sont connectés et combien de temps ils sont restés inactifs :

Cette commande affiche l’heure de la connexion, l’inactivité, le temps de calcul, etc., pour chaque utilisateur.

Suivre l’utilisation des serveurs

Suivre les connexions à vos serveurs Linux et savoir quels utilisateurs les utilisent le plus vous permet de mieux comprendre leur utilisation et de détecter toute activité suspecte. Vous pouvez ainsi renforcer la sécurité de vos serveurs et protéger vos données sensibles. Les serveurs les plus actifs peuvent nécessiter une surveillance plus étroite et plus de communication avec vos utilisateurs.