Le Thu, Mar 25, 2021 at 09:13:38PM +0100, Nathan delhaye a écrit:
> - Est-ce que c'est une personne en interne qui a mis le bazar ?
> (volontairement ou pas)
Heu, tu peux identifier qui s'est connecté à partir de la clef. Alors
évidemment, il
faut avoir un système de gestion, mais ssh te permet d'identifier quelle clef
s'est
connectée aux comptes dans les logs:
Mar 25 23:21:56 XXX sshd[26191]: Accepted publickey for YYY from 172.16.0.1
port 47604 ssh2: RSA SHA256:Fnud6TMJ+akrd0mbl60hrTMK2QupJTg2MYBzAwskO8M
$ ssh-keygen -l -E sha256 -f .ssh/authorized_keys
4096 SHA256:Fnud6TMJ+akrd0mbl60hrTMK2QupJTg2MYBzAwskO8M arnaud@truc (RSA)
Donc même avec un compte partagé, si les clefs ssh ne sont /pas/ partagées, tu
peux
retrouver son propriétaire (et encore plus facilement si les clefs sont gérées
de
façon automatisées, et encore mieux, supprimées si elles ne sont pas censées
exister).
Attention, hein: je suis d'accord, chacun son compte, et ensuite les groupes /
acl /
sudo / etc, c'est mieux. Mais on peut quand même retrouver qui s'est connecté
(enfin,
quelle clef).
Arnaud.
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
