Mouchard de connexion root


Intro

L’utilisateur root est un utilisateur sensible sur les serveurs Linux : il peut tout faire et tout voir.

Il est intéressant de mettre en place une commande qui avertit le sysadmin lors d’une connexion.

Le principe est le suivant :

On va ajouter, dans le fichier .bash_profile de l’utilisateur root, une commande qui va envoyer un email dès qu’il y a une connexion au serveur avec ce compte.

.bash_profile vs .bashrc

  • Il faut rappeler que le fichier .bash_profile est lu et exécuté lorsque le shell est lancé uniquement
  • Il est aussi possible de mettre ce script dans .bashrc :

    • mais vu que le script ne doit s’exécuter que lors de la connexion, il est inutile de surcharger .bashrc
    • car dès qu’il y aura un sous shell créé (par exemple lors de l’exécution d’un autre script) la commande sera chargée en mémoire inutilement.

Mise en place du mouchard

Sur une distribution Debian

cd
cat >> .bash_profile
echo 'Root Shell Access (NomServeur) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" example@webdevpro.net

Puis Enter puis Ctrl+C

Sur une distribution CentOS

cd
cat >> .bash_profile
(echo "Subject: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`"; echo "Root Shell Access (NomServeur) on:' `date` `who`" ) | sendmail example@webdevpro.net

Puis Enter puis Ctrl+C

Conclusion

Il faut se déloger du shell et se reconnecter, vous recevez un mail avec votre adresse IP