lastb : logs des connexions utilisateurs échouées
I. Présentation
Sous Linux, un fichier de log est utilisé pour journaliser les tentatives infructueuses de connexion et, il est consultable grâce à la commande "lastb". Concernant ce fichier il est situé au chemin suivant : /var/log/btmp
II. Le fichier de log
Si le fichier "/var/log/btmp" est absent de votre système, vous devez le créer manuellement à l'aide de la commande suivante :
touch /var/log/btmp
En effet, s'il est absent il ne sera pas créé tout seul à cause d'un choix local de configuration. Si vous désirez activer cette journalisation, créez-le comme indiqué ci-dessus.
III. Utilisation
Dans le cadre de tests et pour générer des logs, je tente de me connecter sur une machine en utilisant différents comptes utilisateurs. Certains existent réellement, d'autres non.
Pour consulter le journal, il suffira d'entrer la commande suivante :
lastb
Vous obtiendrez un résultat de ce type :
On peut voir que les tentatives infructueuses effectuées avec un utilisateur inconnue de la base locale sont indiquées avec "UNKNOWN" signifiant "INCONNU". Le numéro de terminal virtuel est également indiqué, par exemple "tty2" dans ce cas, suivit de la date et de l'heure.
Lorsque vous commencerez à avoir un fichier conséquent en cas de nombreuses tentatives infructueuses, vous pouvez utiliser l'option "-n" pour afficher uniquement un certain nombre de lignes. Les lignes affichées seront du plus récent vers le plus ancien. Exemple pour afficher 2 lignes :
lastb -n 2
IV. La commande last
Cette commande dont le nom est très similaire à celle que nous venons de voir permet de visualiser les connexions réussies et les déconnexions qu'il y a eu sur votre système. Cette commande s'appuie sur le fichier de log : /var/log/wtmp
Comme pour le cas précédent, créez le fichier manuellement s'il n'existe pas :
touch /var/log/wtmp
Ensuite, consultez le journal grâce à la commande suivante :
last
