ℹ️Info sur le systeme

Lors d'une investigation numérique sur un système Linux, la première étape consiste souvent à recueillir des informations cruciales sur le système d'exploitation lui-même ainsi que sur les utilisateurs et les groupes présents sur la machine. Dans cette section, nous explorerons les différentes techniques et commandes pour extraire ces informations vitales.

🖥️ Identification du Système d'Exploitation

Le fichier /etc/os-release contient des détails essentiels sur le système d'exploitation Linux utilisé. En utilisant la commande cat, nous pouvons accéder à ces informations, notamment le nom, la version, les URL de support, etc.

cat /etc/os-release

Ce qui nous donne une sortie comme celle-ci :

💼 Comptes Utilisateur et Groupes

Les fichiers /etc/passwd et /etc/group fournissent des détails sur les utilisateurs et les groupes sur le système. En utilisant cat, nous pouvons afficher ces informations, notamment les noms d'utilisateur, les identifiants, les répertoires personnels, etc.

cat /etc/passwd
cat /etc/group

Ces commandes nous donnent une liste détaillée des utilisateurs et des groupes, avec des informations telles que les identifiants, les répertoires personnels, etc.

  • Vous pouvez utiliser la commande suivante pour le rendre plus lisible:

    • cat /etc/passwd| column -t -s

Détails des colonnes

1️⃣ Nom d'utilisateur (User Name) : C'est le nom de l'utilisateur.

2️⃣ Mot de passe (Password) : Il s'agit généralement d'un caractère "x", indiquant que le mot de passe est stocké dans le fichier /etc/shadow.

3️⃣ UID (User ID) : C'est l'identifiant numérique unique de l'utilisateur.

4️⃣ GID (Group ID) : C'est l'identifiant numérique du groupe principal de l'utilisateur.

5️⃣ Description (User ID Info) : Il s'agit souvent du nom complet ou d'autres informations sur l'utilisateur.

6️⃣ Répertoire utilisateur (Home Directory) : C'est le répertoire personnel de l'utilisateur.

7️⃣ Shell par défaut (Login Shell) : Il s'agit du shell qui sera utilisé par défaut lorsque l'utilisateur ouvrira une session.

  • Recherche des utilisateur d'un groupe spécifique : 

    cat /etc/group | grep '^no^_groupe:' | cut -d: -f4

    Cette commande recherche la ligne commençant par "nom_groupe:" dans le fichier /etc/group, puis utilise cut pour extraire la quatrième colonne, qui contient la liste des utilisateurs membres du groupe "nom_groupe".

🔐 Liste des Sudoers

Le fichier /etc/sudoers contrôle les autorisations des utilisateurs pour exécuter des commandes avec sudo. En utilisant cat, nous pouvons afficher le contenu de ce fichier, bien que cela nécessite souvent des privilèges élevés.

sudo cat /etc/sudoers

Cette commande nous permet de voir qui est autorisé à exécuter des commandes avec sudo et quelles sont leurs permissions.

  • root ALL=(ALL:ALL) ALL: Cette ligne spécifie que l'utilisateur root peut exécuter n'importe quelle commande en tant que n'importe quel utilisateur depuis n'importe quel hôte.

📝 Journaux d'Authentification

Les journaux d'authentification, tels que /var/log/auth.log, enregistrent les activités d'authentification sur le système. En utilisant cat ou d'autres outils de visualisation comme tail ou head, nous pouvons explorer ces journaux pour voir qui s'est connecté et quand.

cat /var/log/auth.log | tail

Cette commande nous montre les derniers événements d'authentification enregistrés dans le journal.

🐧 Lecture des Fichiers wtmp / btmb

Dans le répertoire /var/log, notamment wtmp et btmp. Le fichier btmp enregistre les informations sur les échecs de connexion, tandis que wtmp conserve les données historiques des connexions réussies. Ces fichiers ne sont pas des fichiers texte ordinaires et nécessitent l'utilisation de l'outil last pour les lire.

Le terminal ci-dessous illustre l'utilisation de la commande last avec l'option -f pour spécifier le fichier wtmp. Cela permet de lire les données historiques des connexions, y compris les informations sur les redémarrages, le temps d'une session ect...

Détails des colonnes

1️⃣ Reboot : Indique qu'il s'agit d'une ligne de démarrage du système.

2️⃣ Système de démarrage : Donne l'état du système au démarrage.

3️⃣ 5.4.0-1029-aws : Indique la version du noyau Linux utilisée.

4️⃣ Date et heure de démarrage : Donne la date et l'heure du démarrage du système.

5️⃣ Date et heure de fin : Donne la date et l'heure de la fin de la session, si applicable.

6️⃣ Durée de la session : Donne la durée de la session, si applicable.Contenu du titre déroulant.

PreviousLinuxNextInfo sur la config du systeme

Last updated