Sous Linux, suivre qui accède à un système et comment il le fait est crucial pour la sécurité et le dépannage. Ce processus est géré par la journalisation de l'authentification, qui enregistre tous les événements liés à l'autorisation, tels que les connexions des utilisateurs et les méthodes utilisées.
Le fichier auth.log
Sur les systèmes basés sur Debian comme Ubuntu, le fichier principal pour suivre cette activité est /var/log/auth.log. Ce fichier journal contient des informations d'autorisation système, y compris les tentatives de connexion utilisateur réussies et échouées, et tous les mécanismes d'authentification qui ont été déclenchés. L'examen de ce fichier est une étape clé pour diagnostiquer les problèmes de connexion ou enquêter sur des incidents de sécurité.
Voici un extrait typique d'un fichier auth.log :
Jan 31 10:37:50 icebox pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)Comprendre les entrées de journal
Chaque ligne du journal fournit des détails précieux. Dans l'exemple ci-dessus :
Jan 31 10:37:50: L'horodatage de l'événement.icebox: Le nom d'hôte de la machine où l'événement s'est produit.pkexec: Le programme qui a initié l'événement.pam_unix(polkit-1:session): Le module d'authentification et le service utilisés.session opened for user root by (uid=1000): L'action effectuée — une session a été ouverte pour l'utilisateurrootpar un utilisateur avec l'UID1000.
Fichiers journaux alternatifs
Il est important de noter que l'emplacement des journaux d'authentification peut varier selon les distributions Linux. Par exemple, sur les systèmes basés sur Red Hat comme CentOS et Fedora, ces événements sont généralement enregistrés dans /var/log/secure au lieu de /var/log/auth.log.