La gestion efficace des comptes utilisateurs est un pilier de la sécurité informatique. Parmi les différentes mesures visant à maintenir un environnement sécurisé, la surveillance des comptes utilisateurs inactifs ou inutilisés est essentielle. Les comptes utilisateurs inactifs peuvent constituer des points d’entrée potentiels pour des personnes malveillantes s’ils ne sont pas contrôlés. Pour y remédier, nous allons nous pencher sur un script Bash performant qui alerte les administrateurs lorsque des comptes utilisateurs restent inactifs pendant un nombre de jours déterminé.
Contexte
Les comptes d’utilisateurs inactifs présentent des risques importants dans toute infrastructure informatique. Ils peuvent être exploités pour obtenir un accès non autorisé, ce qui peut entraîner des vols de données. Les fournisseurs de services gérés (MSP) et les professionnels de l’informatique ont besoin d’outils efficaces pour suivre et gérer ces comptes. Ce script constitue une excellente solution fournissant des alertes automatisées pour les comptes inactifs sur les systèmes Linux, améliorant ainsi la posture de sécurité globale.
Le script :
#!/usr/bin/env bash
#
# Description: Alerts when there is an inactive/unused account that has not logged in for the specified number of days.
#
# Preset Parameter: --daysInactive "90"
# Alert if account has been inactive for x days.
#
# Preset Parameter: --showDisabled
# Includes disabled accounts in alert and report.
#
# Preset Parameter: --multilineField "ReplaceMeWithNameOfYourMultilineField"
# Name of an optional multiline custom field to save the results to.
#
# Preset Parameter: --wysiwygField "ReplaceMeWithNameOfYourWYSIWYGField"
# Name of an optional WYSIWYG custom field to save the results to.
#
# Preset Parameter: --help
# Displays some help text.
#
# Release Notes: Initial Release
# By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
# Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms.
# Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party.
# Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider.
# Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations.
# Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks.
# Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script.
# EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
#
# These are all our preset parameter defaults. You can set these = to something if you would prefer the script defaults to a certain parameter value.
_arg_daysInactive=
_arg_showDisabled="off"
_arg_multilineField=
_arg_wysiwygField=
# Help text function for when invalid input is encountered
print_help() {
printf '\n\n%s\n\n' 'Usage: --daysInactive|-d <arg> [--multilineField|-m <arg>] [--wysiwygField|-w <arg>] [--showDisabled] [--help|-h]'
printf '%s\n' 'Preset Parameter: --daysInactive "90"'
printf '\t%s\n' "Alert if account has been inactive for x days."
printf '%s\n' 'Preset Parameter: --showDisabled'
printf '\t%s\n' "Includes disabled accounts in alert and report."
printf '%s\n' 'Preset Parameter: --multilineField "ReplaceMeWithNameOfYourMultilineField"'
printf '\t%s\n' "Name of an optional multiline custom field to save the results to."
printf '%s\n' 'Preset Parameter: --wysiwygField "ReplaceMeWithNameOfYourWYSIWYGField"'
printf '\t%s\n' "Name of an optional WYSIWYG custom field to save the results to."
printf '\n%s\n' 'Preset Parameter: --help'
printf '\t%s\n' "Displays this help menu."
}
# Determines whether or not help text is necessary and routes the output to stderr
die() {
local _ret="${2:-1}"
echo "$1" >&2
test "${_PRINT_HELP:-no}" = yes && print_help >&2
exit "${_ret}"
}
# Converts a string input into an HTML table format.
convertToHTMLTable() {
local _arg_delimiter=" "
local _arg_inputObject
# Process command-line arguments for the function.
while test $# -gt 0; do
_key="$1"
case "$_key" in
--delimiter | -d)
test $# -lt 2 && echo "[Error] Missing value for the required argument" >&2 && return 1
_arg_delimiter=$2
shift
;;
--*)
echo "[Error] Got an unexpected argument" >&2
return 1
;;
*)
_arg_inputObject=$1
;;
esac
shift
done
# Handles missing input by checking stdin or returning an error.
if [[ -z $_arg_inputObject ]]; then
if [ -p /dev/stdin ]; then
_arg_inputObject=$(cat)
else
echo "[Error] Missing input object to convert to table" >&2
return 1
fi
fi
local htmlTable="<table>\n"
htmlTable+=$(printf '%b' "$_arg_inputObject" | head -n1 | awk -F "$_arg_delimiter" '{
printf "<tr>"
for (i=1; i<=NF; i+=1)
{ printf "<th>"$i"</th>" }
printf "</tr>"
}')
htmlTable+="\n"
htmlTable+=$(printf '%b' "$_arg_inputObject" | tail -n +2 | awk -F "$_arg_delimiter" '{
printf "<tr>"
for (i=1; i<=NF; i+=1)
{ printf "<td>"$i"</td>" }
print "</tr>"
}')
htmlTable+="\n</table>"
printf '%b' "$htmlTable" '\n'
}
# Parses command-line arguments and sets script variables accordingly.
parse_commandline() {
while test $# -gt 0; do
_key="$1"
case "$_key" in
--daysInactive | --daysinactive | --days | -d)
test $# -lt 2 && die "Missing value for the optional argument '$_key'." 1
_arg_daysInactive=$2
shift
;;
--daysInactive=*)
_arg_daysInactive="${_key##--daysInactive=}"
;;
--multilineField | --multilinefield | --multiline | -m)
test $# -lt 2 && die "Missing value for the optional argument '$_key'." 1
_arg_multilineField=$2
shift
;;
--multilineField=*)
_arg_multilineField="${_key##--multilineField=}"
;;
--wysiwygField | --wysiwygfield | --wysiwyg | -w)
test $# -lt 2 && die "Missing value for the optional argument '$_key'." 1
_arg_wysiwygField=$2
shift
;;
--wysiwygField=*)
_arg_wysiwygField="${_key##--wysiwygField=}"
;;
--showDisabled | --showdisabled)
_arg_showDisabled="on"
;;
--help | -h)
_PRINT_HELP=yes die 0
;;
*)
_PRINT_HELP=yes die "FATAL ERROR: Got an unexpected argument '$1'" 1
;;
esac
shift
done
}
# Parses the command-line arguments passed to the script.
parse_commandline "$@"
# If dynamic script variables are used replace the commandline arguments with them.
if [[ -n $daysInactive ]]; then
_arg_daysInactive="$daysInactive"
fi
if [[ -n $includeDisabled && $includeDisabled == "true" ]]; then
_arg_showDisabled="on"
fi
if [[ -n $multilineCustomFieldName ]]; then
_arg_multilineField="$multilineCustomFieldName"
fi
if [[ -n $wysiwygCustomFieldName ]]; then
_arg_wysiwygField="$wysiwygCustomFieldName"
fi
# Check if _arg_daysInactive contains any non-digit characters or is less than zero.
# If any of these conditions are true, display the help text and terminate with an error.
if [[ -z $_arg_daysInactive || $_arg_daysInactive =~ [^0-9]+ || $_arg_daysInactive -lt 0 ]]; then
_PRINT_HELP=yes die "FATAL ERROR: Days Inactive of '$_arg_daysInactive' is invalid! Days Inactive must be a positive number." 1
fi
# Check if both _arg_multilineField and _arg_wysiwygField are set and not empty.
if [[ -n "$_arg_multilineField" && -n "$_arg_wysiwygField" ]]; then
# Convert both field names to uppercase to check for equality.
multiline=$(echo "$_arg_multilineField" | tr '[:lower:]' '[:upper:]')
wysiwyg=$(echo "$_arg_wysiwygField" | tr '[:lower:]' '[:upper:]')
# If the converted names are the same, it means both fields cannot be identical.
# If they are, terminate the script with an error.
if [[ "$multiline" == "$wysiwyg" ]]; then
_PRINT_HELP=no die 'FATAL ERROR: Multline Field and WYSIWYG Field cannot be the same name. https://ninjarmm.zendesk.com/hc/en-us/articles/360060920631-Custom-Fields-Configuration-Device-Role-Fields'
fi
fi
# Retrieves the list of user accounts with UniqueIDs greater than 499 (typically these are all not service accounts) from the local user directory.
userAccounts=$(cut -d ":" -f1,3 /etc/passwd | grep -v "nobody" | awk -F ':' '$2 >= 1000 {print $1}')
# Sets up a header string for the table that will display user account information.
header=$(printf '%s' "Username" ';' "Password Last Set" ';' "Last Logon" ';' "Enabled")
# Initializes an empty string to store information about relevant user accounts.
relevantAccounts=
# Iterates over each user account retrieved earlier.
for userAccount in $userAccounts; do
# Extracts the last login information for that user, filtering out unnecessary lines and formatting.
lastLogin=$(last -RF1 "$userAccount" | grep -v "wtmp" | grep "\S" | tr -s " " | cut -f3-7 -d " ")
# Converts the last login date to seconds since the epoch, for easier date comparison.
if [[ -n $lastLogin ]]; then
lastLogin=$(date -d "$lastLogin" +"%s")
fi
# Calculates the cutoff date in seconds since the epoch for inactivity comparison, based on the days inactive argument.
if [[ $_arg_daysInactive -gt 0 ]]; then
cutoffDate=$(date -d "${_arg_daysInactive} days ago" +"%s")
fi
# Retrieves the timestamp when the password was last set for the user account and converts it to a readable format.
passwordLastSet=$(passwd -S "$userAccount" | cut -f3 -d " ")
# Checks if the user account is part of the group that defines disabled accounts, setting the 'enabled' variable accordingly.
unlockedaccount=$(passwd -S "$userAccount" | cut -f2 -d " " | grep -v "L")
nologin=$(grep "$userAccount" /etc/passwd | cut -d ":" -f7 | grep "nologin")
if [[ -n $unlockedaccount && -z $nologin ]]; then
enabled="true"
else
enabled="false"
fi
# Checks if the account is inactive based on the last login date and cutoff date or if the account should be included regardless of its active status.
if [[ $_arg_daysInactive == "0" || -z "$lastLogin" || $lastLogin -le $cutoffDate ]]; then
# Formats the last login date or sets it to "Never" if the user has never logged in.
if [[ -n $lastLogin ]]; then
lastLogin=$(date -d "@$lastLogin")
else
lastLogin="Never"
fi
# Skips adding disabled accounts to the output if they should not be shown.
if [[ $_arg_showDisabled == "off" && $enabled == "false" ]]; then
continue
fi
# Appends the account information to the 'relevantAccounts' string if it meets the criteria.
relevantAccounts+=$(printf '%s' '\n' "$userAccount" ';' "$passwordLastSet" ';' "$lastLogin" ';' "$enabled")
foundInactiveAccounts="true"
fi
done
# Checks if there are any inactive accounts found.
if [[ $foundInactiveAccounts == "true" ]]; then
# Formats a nice table for easier viewing
tableView="$header"
tableView+=$(printf '%s' '\n' "--------" ';' "-----------------" ';' "----------" ';' "-------")
tableView+="$relevantAccounts"
tableView=$(printf '%b' "$tableView" | column -s ';' -t)
# Output to the activity log
echo ""
echo 'WARNING: Inactive accounts detected!'
echo ""
printf '%b' "$tableView"
echo ""
else
# If no inactive accounts were found, outputs a simple message.
echo "No inactive accounts detected."
fi
# Checks if there is a multiline custom field set and if any inactive accounts have been found.
if [[ -n $_arg_multilineField && $foundInactiveAccounts == "true" ]]; then
echo ""
echo "Attempting to set Custom Field '$_arg_multilineField'..."
# Formats the relevantAccounts data for the multiline custom field.
multilineValue=$(printf '%b' "$relevantAccounts" | grep "\S" | awk -F ";" '{
print "Username: "$1
print "Password Last Set: "$2
print "Last Logon: "$3
print "Enabled: "$4
print ""
}')
# Tries to set the multiline custom field using ninjarmm-cli and captures the output.
if ! output=$(printf '%b' "$multilineValue" | /opt/NinjaRMMAgent/programdata/ninjarmm-cli set --stdin "$_arg_multilineField" 2>&1); then
echo "[Error] $output" >&2
EXITCODE=1
else
echo "Successfully set Custom Field '$_arg_multilineField'!"
fi
fi
# Checks if there is a WYSIWYG custom field set and if any inactive accounts have been found.
if [[ -n $_arg_wysiwygField && $foundInactiveAccounts == "true" ]]; then
echo ""
echo "Attempting to set Custom Field '$_arg_wysiwygField'..."
# Initializes an HTML formatted string with headers and account details.
htmlObject="$header"
htmlObject+="$relevantAccounts"
# Converts the text data to an HTML table format.
htmlObject=$(convertToHTMLTable --delimiter ';' "$htmlObject")
# Tries to set the WYSIWYG custom field using ninjarmm-cli and captures the output.
if ! output=$(echo "$htmlObject" | /opt/NinjaRMMAgent/programdata/ninjarmm-cli set --stdin "$_arg_wysiwygField" 2>&1); then
echo "[Error] $output" >&2
EXITCODE=1
else
echo "Successfully set Custom Field '$_arg_wysiwygField'!"
fi
fi
# Checks if an error code is set and exits the script with that code.
if [[ -n $EXITCODE ]]; then
exit "$EXITCODE"
fi
Description détaillée
Voyons comment ce script fonctionne pour maintenir l’hygiène des comptes d’utilisateurs sur vos systèmes Linux.
Paramètres prédéfinis
Le script commence par définir des paramètres prédéfinis :
- –daysInactive : Nombre de jours pendant lesquels un compte doit être inactif pour déclencher une alerte.
- –showDisabled : Indique s’il faut inclure les comptes désactivés dans le rapport.
- –multilineField : Le nom d’un champ personnalisé multiligne pour enregistrer les résultats.
- –wysiwygField : Le nom d’un champ personnalisé WYSIWYG pour enregistrer les résultats.
- –help : Affiche le texte d’aide.
Analyse des arguments de la ligne de commande
Le script utilise une fonction pour analyser les arguments de la ligne de commande et définir les variables du script en conséquence. Si des arguments incorrects sont fournis, le script affiche un message d’aide et se termine.
Détection des comptes inactifs
La fonctionnalité principale consiste à détecter les comptes d’utilisateurs inactifs. Il récupère une liste de comptes d’utilisateurs dont l’identifiant unique (UniqueID) est supérieur à 499 (généralement des comptes de non-service) dans le répertoire local des utilisateurs. Il vérifie ensuite la date de dernière connexion de chaque compte et la compare à la date du jour moins le paramètre –daysInactive. Les comptes répondant aux critères d’inactivité sont signalés.
Génération de rapports
Si des comptes inactifs sont détectés, le script génère un tableau qui les affiche :
- Nom d’utilisateur
- Dernier mot de passe défini
- Dernière connexion
- État activé
Intégration de champs personnalisés
Le script peut enregistrer les résultats dans les champs personnalisés spécifiés. Il formate les données en texte brut ou en HTML, selon qu’elles sont enregistrées dans un champ multiligne ou WYSIWYG.
Cas d’utilisation potentiels
Prenons l’exemple d’un administrateur informatique qui gère les serveurs Linux d’une entreprise. Des audits réguliers des comptes d’utilisateurs font partie du protocole de sécurité. L’administrateur planifie l’exécution hebdomadaire de ce script. Une semaine, le script détecte plusieurs comptes inactifs qui ne se sont pas connectés depuis plus de 90 jours. Après avoir examiné le rapport, l’administrateur décide de désactiver ces comptes jusqu’à ce qu’une nouvelle vérification soit effectuée, ce qui permet d’atténuer les risques potentiels pour la sécurité.
Comparaisons
D’autres méthodes permettant d’obtenir des résultats similaires peuvent inclure l’audit manuel ou l’utilisation d’outils de gestion des utilisateurs plus complexes. L’audit manuel prend du temps et est sujet à des erreurs humaines. Les outils avancés peuvent être coûteux et nécessiter une installation et une configuration approfondies. Ce texte offre une solution simple et rentable, ce qui en fait une excellente solution intermédiaire.
FAQ
- Que se passe-t-il si je veux vérifier l’inactivité pendant un nombre de jours différent ? Ajustez le paramètre –daysInactive en conséquence. Par exemple, utilisez –daysInactive 60 pour vérifier 60 jours d’inactivité.
- Puis-je exclure les comptes désactivés du rapport ? Oui, le script comprend le paramètre –showDisabled qui permet d’inclure les comptes désactivés.
- Comment enregistrer les résultats dans un champ personnalisé ? Spécifiez les noms des champs personnalisés à l’aide des paramètres –multilineField ou –wysiwygField.
- Que se passe-t-il si je fournis des paramètres incorrects ? Le script affichera un message d’aide et se terminera, assurant ainsi que vous fournissez les données correctes.
Implications
Le contrôle régulier des comptes inactifs a de profondes répercussions sur la sécurité informatique. Il permet d’empêcher les accès non autorisés, de réduire la surface d’attaque et de garantir la conformité avec les politiques de sécurité. En utilisant ce script, les administrateurs peuvent automatiser un aspect crucial de la gestion des comptes d’utilisateurs, améliorant ainsi la sécurité et l’efficacité globales.
Recommandations
- Planifiez l’exécution du script à intervalles réguliers, par exemple une fois par semaine ou par mois.
- Examinez rapidement le rapport sur les comptes inactifs et prennez les mesures qui s’imposent.
- Utilisez la fonction de champs personnalisés pour intégrer les résultats à vos outils de gestion informatique existants.
Conclusion
La gestion efficace des comptes d’utilisateurs inactifs est essentielle au maintien de la sécurité informatique. Ce script fournit une solution pratique et automatisée, permettant aux administrateurs de garder une longueur d’avance sur les menaces de sécurité potentielles. En intégrant cet outil dans vos protocoles de sécurité, vous pouvez garantir un environnement informatique plus sûr et plus conforme.
NinjaOne propose des solutions complètes de gestion informatique qui s’intègrent de manière optimale à des scripts de ce type, offrant une fonctionnalité améliorée et une gestion centralisée de votre infrastructure informatique. Adoptez l’automatisation et des pratiques de sécurité de pointe avec NinjaOne pour protéger efficacement votre entreprise.