Mouchard de connexion root
Intro
L’utilisateur root est un utilisateur sensible sur les serveurs Linux : il peut tout faire et tout voir.
Il est intéressant de mettre en place une commande qui avertit le sysadmin lors d’une connexion.
Le principe est le suivant :
On va ajouter, dans le fichier .bash_profile de l’utilisateur root, une commande qui va envoyer un email dès qu’il y a une connexion au serveur avec ce compte.
.bash_profile vs .bashrc
- Il faut rappeler que le fichier .bash_profile est lu et exécuté lorsque le shell est lancé uniquement
-
Il est aussi possible de mettre ce script dans .bashrc :
- mais vu que le script ne doit s’exécuter que lors de la connexion, il est inutile de surcharger .bashrc
- car dès qu’il y aura un sous shell créé (par exemple lors de l’exécution d’un autre script) la commande sera chargée en mémoire inutilement.
Mise en place du mouchard
Sur une distribution Debian
cd
cat >> .bash_profile
echo 'Root Shell Access (NomServeur) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" example@webdevpro.net
Puis Enter puis Ctrl+C
Sur une distribution CentOS
cd
cat >> .bash_profile
(echo "Subject: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`"; echo "Root Shell Access (NomServeur) on:' `date` `who`" ) | sendmail example@webdevpro.net
Puis Enter puis Ctrl+C
Conclusion
Il faut se déloger du shell et se reconnecter, vous recevez un mail avec votre adresse IP