Alex Ruben
Comment afficher l’historique de connexion sur Linux et Ubuntu
Si vous utilisez Ubuntu, c’est assez étrange que les journaux n’affichent pas toujours tout clairement. Parfois, il faut fouiller dans le Terminal et se familiariser avec la procédure. Vous cherchez peut-être à savoir si quelqu’un s’est connecté pendant votre absence, ou vous êtes simplement curieux de connaître les accès récents. Quelle que soit la raison, ce guide regroupe toutes les commandes et astuces courantes pour consulter l’historique des connexions, y compris les connexions réussies et les tentatives infructueuses, afin d’avoir une idée plus précise des utilisateurs de votre système. Préparez-vous à vous familiariser avec last, lastb, et peut-être même avec un peu de sudo magic, pour bien comprendre ce qui se passe. Attention, ce n’est pas toujours parfait (les journaux sont parfois effacés ou pivotés), mais il couvre la plupart des cas courants.
Comment corriger ou vérifier l’historique de connexion sur Ubuntu
Vérifiez si les journaux de connexion sont disponibles et comment afficher les connexions réussies
Tout d’abord, vous souhaitez voir les connexions réussies récentes. Cette commande simple lastfait généralement l’affaire ; elle existe depuis toujours sous Linux. Elle extrait les données de /var/log/wtmp, mais il arrive que si les journaux sont mis à jour ou effacés, vous ne puissiez pas tout voir. Connectez-vous au terminal via VPN ( Ctrl+ Alt+ T) et saisissez simplement :
last
Il répertorie les connexions récentes avec des informations telles que les noms d’utilisateur, les heures de connexion et la durée de chaque session. Méfiez-vous des entrées « reboot » : elles signifient simplement que votre système a été redémarré, ce qui est normal. L’avantage ici est d’obtenir un aperçu rapide et sans complications. Si vous remarquez des noms d’utilisateur ou des heures de connexion étranges, cela peut valoir la peine d’approfondir la question.
Comment voir les tentatives de connexion échouées (car bien sûr, certains pirates essaient)
Pour voir les tentatives de connexion échouées, c’est un peu plus compliqué. Ubuntu n’affiche pas les tentatives échouées avec last, mais la commande lastble fera, si vous disposez des autorisations appropriées. Elle lit depuis /var/log/btmp. Si cela ne fonctionne pas immédiatement, vous aurez peut-être besoin des droits d’administrateur ; ajoutez simplement sudo :
sudo lastb
Cela affichera la liste des tentatives infructueuses. Vous verrez peut-être plusieurs tentatives, ce qui n’est pas une bonne nouvelle, mais au moins vous serez informé. Gardez à l’esprit que les journaux sont parfois mis en rotation ou ne sont pas activés pour l’audit ; ne vous attendez donc pas à un système infaillible.
Gérer les autorisations — parce que Linux vous oblige parfois à travailler dur pour cela
Si l’autorisation vous est refusée lors de l’exécution de lastb, ajoutez simplement sudo. C’est ainsi que Linux protège les journaux contre toute falsification. En saisissant sudo lastbvotre mot de passe, vous afficherez les connexions échouées. Sur certaines configurations, cette commande peut ne rien afficher si la journalisation des tentatives de connexion échouées n’est pas activée ou si les journaux sont effacés, mais cela vaut la peine d’essayer.
Comment quitter les longs journaux lorsqu’ils inondent votre écran
Si vous fouillez et que le résultat est long (un peu ennuyeux), vous pouvez le quitter en appuyant sur Q. C’est le comportement habituel d’un pager. Les journaux peuvent parfois être volumineux, surtout si vous ne les avez pas nettoyés depuis un certain temps. Pensez donc à les rediriger ou à les filtrer si vous recherchez quelque chose de spécifique.
Conseils supplémentaires et problèmes courants qui font trébucher les gens
Gardez à l’esprit que les journaux dépendent de la configuration de votre système. Si vous ne trouvez pas ce que vous cherchez, vérifiez que les services de journalisation comme rsyslog ou systemd-journald fonctionnent correctement. De plus, les journaux peuvent être renouvelés ou expirer après un certain temps ; l’activité récente est donc généralement correcte, mais les informations plus anciennes peuvent avoir disparu. Et si vous êtes paranoïaque, pensez à configurer des journaux plus avancés, comme Fail2Ban ou auditd, pour tout suivre.
Autre chose étrange : parfois, l’exécution lastou lastbune nouvelle installation n’affiche quasiment rien, sauf si les journaux sont intacts. Il en va de même si les journaux ont été effacés manuellement ou lors d’un nettoyage du système. Attention, Windows rend la tâche plus compliquée que nécessaire, n’est-ce pas ?
Conclure
Espionner l’historique de connexion sous Ubuntu n’est pas très compliqué, mais ce n’est pas non plus très simple : cela dépend de la façon dont les journaux sont gérés. La plupart du temps, lastce sudo lastbsont les meilleurs choix. Surveillez-les régulièrement et, si vous remarquez quelque chose de suspect, changez vos mots de passe ou renforcez la sécurité. C’est un bon moyen d’anticiper les problèmes potentiels. Avec le temps, vous comprendrez la signification des journaux et pourrez repérer plus rapidement les activités inhabituelles.
Résumé
- Utiliser
lastpour les connexions récentes réussies - Utiliser
sudo lastbpour les tentatives de connexion infructueuses - Vérifiez que les journaux sont activés et non tournés
- N’oubliez pas que les journaux peuvent être effacés ou limités, alors ne vous y fiez pas à 100 %.
- Surveillez régulièrement les journaux si la sécurité est un problème
Conclusion
Savoir qui s’est connecté à votre Ubuntu n’est pas compliqué, mais l’absence de journaux ou le manque de détails peut parfois être frustrant. Ces commandes couvrent néanmoins la plupart des scénarios courants. Surveillez les journaux si vous suspectez une tentative d’intrusion, et n’oubliez pas de maintenir votre système à jour et sécurisé ; Linux rend évidemment les choses un peu plus compliquées qu’elles ne le devraient. Espérons que cela vous évitera quelques heures de recherche et de devinettes.