Lorsque vous partagez votre ordinateur avec d’autres et que vous leur avez accordé un accès sudo, il est prudent de surveiller comment ils l’utilisent. Heureusement, il est facile de consulter l’historique sudo. Voyons comment.
Contenu
Le journal d’authentification
De nombreux services Linux conservent des journaux pour aider à résoudre les problèmes. Heureusement, entre autres choses, il conserve également une liste détaillée des informations que nous recherchons précisément dans cet article. Dans cette liste, vous pouvez vérifier qui et quand émis quelle commande à l’aide de sudo. Pour trouver ces informations, si vous utilisez une distribution basée sur Debian ou Ubuntu, saisissez l’inro suivant dans votre terminal préféré :
Dans d’autres distributions, l’emplacement peut varier. Ces informations peuvent se trouver dans « /var/log/secure » ou « /var/log/audit/audit.log ». Vous pouvez trouver l’emplacement de ce fichier journal en vérifiant le fichier du sudoer. Cela aussi peut être trouvé à un endroit différent selon la distribution. Habituellement, vous le trouverez dans « /etc/sudoers ». Ouvrez-le avec votre éditeur de texte préféré et recherchez l’entrée du fichier journal. Sa valeur est l’endroit où se trouve le fichier que nous recherchons, alors, remixez la commande ci-dessus pour vérifier le vôtre à la place.
Donner un sens au chaos
Le fichier journal contiendra une tonne d’entrées qui ne sont probablement pas intéressantes. Vous pouvez le faire défiler et le parcourir ou utiliser la fonction de recherche de votre éditeur de texte pour localiser chaque utilisation de sudo.
C’est mieux, cependant, si vous utilisez plutôt grep. De cette façon, vous pouvez filtrer le contenu du journal sur la base d’une simple requête. Pour y trouver toutes les entrées sudo, utilisez :
N’oubliez pas de mettre à jour le chemin du journal vers le bon pour votre distribution.
Cette commande affichera les résultats directement dans votre terminal.
Si vous préférez les avoir au format fichier, ajoutez une telle redirection après la commande, comme :
Lorsque vous le consultez, vous trouverez une série d’entrées contenant la date, l’heure, le nom de l’ordinateur et la commande utilisée.
Coup normal
Si vous recherchez simplement toutes les commandes saisies dans le terminal, vous pouvez consulter le fichier « .bash_history » situé dans le dossier Accueil. Vous pouvez, par exemple, saisir ce qui suit dans un terminal :
Cela vous montrera toutes les commandes que vous (ou d’autres utilisateurs) exécutez dans le terminal.
Maintenant que vous savez comment vérifier l’historique sudo, vous pouvez également désactiver le mot de passe sudo si vous êtes le seul utilisateur de votre PC ou comment faire en sorte que le mot de passe sudo apparaisse sous la forme d’un astérisque.
Cet article est-il utile ? Oui Non
