Le Thu, Mar 25, 2021 at 09:13:38PM +0100, Nathan delhaye a écrit:
- Est-ce que c'est une personne en interne qui a mis le bazar ?(volontairement ou pas)
Heu, tu peux identifier qui s'est connecté à partir de la clef. Alors évidemment, il faut avoir un système de gestion, mais ssh te permet d'identifier quelle clef s'est connectée aux comptes dans les logs:
Mar 25 23:21:56 XXX sshd[26191]: Accepted publickey for YYY from 172.16.0.1 port 47604 ssh2: RSA SHA256:Fnud6TMJ+akrd0mbl60hrTMK2QupJTg2MYBzAwskO8M
$ ssh-keygen -l -E sha256 -f .ssh/authorized_keys 4096 SHA256:Fnud6TMJ+akrd0mbl60hrTMK2QupJTg2MYBzAwskO8M arnaud@truc (RSA)
Donc même avec un compte partagé, si les clefs ssh ne sont /pas/ partagées, tu peux retrouver son propriétaire (et encore plus facilement si les clefs sont gérées de façon automatisées, et encore mieux, supprimées si elles ne sont pas censées exister).
Attention, hein: je suis d'accord, chacun son compte, et ensuite les groupes / acl / sudo / etc, c'est mieux. Mais on peut quand même retrouver qui s'est connecté (enfin, quelle clef).
Arnaud.