Lorsque vous partagez votre ordinateur avec d’autres personnes et que vous leur avez accordé un accès sudo, il est prudent de surveiller la façon dont ils l’utilisent. Heureusement, il est facile de consulter l’historique de sudo. Voyons comment.
Le journal d’authentification
De nombreux services Linux conservent des journaux pour aider à résoudre les problèmes. Heureusement, entre autres choses, il conserve également une liste détaillée des informations que nous recherchons précisément dans cet article. Dans cette liste, vous pouvez vérifier qui et quand a émis quelle commande en utilisant sudo. Pour trouver ces informations, si vous utilisez une distribution basée sur Debian ou Ubuntu, saisissez l’intro suivante dans votre terminal préféré :
sudo nano /var/log/auth.log
Dans d’autres distributions, l’emplacement peut varier. Ces informations peuvent se trouver dans « /var/log/secure » ou « /var/log/audit/audit.log ». Vous pouvez trouver l’emplacement de ce fichier journal en consultant le fichier sudoer. Cela aussi peut être trouvé à un endroit différent selon la distribution. Habituellement, vous le trouverez dans « /etc/sudoers ». Ouvrez-le avec votre éditeur de texte préféré et recherchez l’entrée du fichier journal. Sa valeur est l’endroit où se trouve le fichier que nous recherchons, alors remixez la commande ci-dessus pour vérifier la vôtre à la place.
Donner un sens au chaos
Le fichier journal contiendra une tonne d’entrées qui ne présentent probablement pas d’intérêt. Vous pouvez faire défiler et faire défiler ou utiliser la fonction de recherche de votre éditeur de texte pour localiser chaque utilisation de sudo.
C’est mieux, cependant, si vous utilisez grep
Au lieu. De cette façon, vous pouvez filtrer le contenu du journal en fonction d’une simple requête. Pour trouver toutes les entrées sudo qu’il contient, utilisez:
sudo grep sudo /var/log/auth.log
N’oubliez pas de mettre à jour le chemin du journal vers celui qui convient à votre distribution.
Cette commande affichera les résultats directement dans votre terminal.
Si vous préférez les avoir au format fichier, ajoutez une telle redirection après la commande, comme:
sudo grep sudo /var/log/auth.log > sudolist.txt
Lorsque vous le vérifierez, vous trouverez une série d’entrées contenant la date, l’heure, le nom de l’ordinateur et la commande utilisée.
Frappe normale
Si vous recherchez simplement toutes les commandes tapées dans le terminal, vous pouvez consulter le fichier « .bash_history » situé dans le dossier Accueil. Vous pouvez, par exemple, saisir ce qui suit dans un terminal :
sudo nano /home/USERNAME/.bash_history
Cela vous montrera toutes les commandes que vous (ou d’autres utilisateurs) exécutez dans le terminal.
Maintenant que vous savez comment vérifier l’historique sudo, vous pouvez également désactiver le mot de passe sudo si vous êtes le seul utilisateur de votre PC ou comment faire apparaître le mot de passe sudo sous forme d’astérisque.