Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Ohjelmointi, palvelimet ja muu edistyneempi käyttö => Aiheen aloitti: ilkkak - 07.01.08 - klo:22.03
-
auth.log:sta löytyi seuraavaa. Mahtaako olla normaalia vai mitä?
Jan 7 06:25:01 kimpinen CRON[11384]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 7 06:25:01 kimpinen su[11413]: Successful su for nobody by root
Jan 7 06:25:01 kimpinen su[11413]: + ??? root:nobody
Jan 7 06:25:01 kimpinen su[11413]: pam_unix(su:session): session opened for user nobody by (uid=0)
Jan 7 06:25:01 kimpinen su[11413]: pam_unix(su:session): session closed for user nobody
Jan 7 06:25:01 kimpinen su[11417]: Successful su for nobody by root
Jan 7 06:25:01 kimpinen su[11417]: + ??? root:nobody
Jan 7 06:25:01 kimpinen su[11417]: pam_unix(su:session): session opened for user nobody by (uid=0)
Jan 7 06:25:01 kimpinen su[11417]: pam_unix(su:session): session closed for user nobody
Jan 7 06:25:01 kimpinen su[11419]: Successful su for nobody by root
Jan 7 06:25:01 kimpinen su[11419]: + ??? root:nobody
Jan 7 06:25:01 kimpinen su[11419]: pam_unix(su:session): session opened for user nobody by (uid=0)
Jan 7 06:25:02 kimpinen su[11419]: pam_unix(su:session): session closed for user nobody
Jan 7 06:25:03 kimpinen CRON[11384]: pam_unix(cron:session): session closed for user root
-
Suosittelen lisäämään tuonne /etc/ssh/sshd_config
tiedoston loppuun rivin:
AllowUsers IlkkaK
Tai mikä nyt onkaan käyttäjätunnus koneella, ja muutenkin poistamaan root login pois käytöstä, samasta tiedostosta
-
auth.log:sta löytyi seuraavaa. Mahtaako olla normaalia vai mitä?
no, käyttäjää nobody käytetään ajamaan joitain tiettyjä palveluita linux/unix-koneilla. jos sinulla on asennettuna palveluita (muistaakseni ainakin samba) joita ajetaan nobodyn oikeuksin, niin logi näyttäisi jotakuinkin tuollaiselta.
-
jumala@helvetti:~$ cat /var/log/auth.log |grep nobody
Dec 15 21:27:08 localhost groupadd[7464]: new group: name=nobody, GID=1001
Tuon enempää minulla ei ollut tarjota. mutta sinun ohjeillasi Janne minä ainakin tuon ssh:n muurasin umpeen :)
-
auth.log:sta löytyi seuraavaa. Mahtaako olla normaalia vai mitä?
no, käyttäjää nobody käytetään ajamaan joitain tiettyjä palveluita linux/unix-koneilla. jos sinulla on asennettuna palveluita (muistaakseni ainakin samba) joita ajetaan nobodyn oikeuksin, niin logi näyttäisi jotakuinkin tuollaiselta.
Epäilinkin. Laitetaan kuitenkin ssh-kiinni varmuuden vuoksi.
Kiitokset vastauksista
-
Normaalia toimintaa.
Vilkaiskaapa /etc/crontab ja /etc/cron.daily/find
minulla on auth.logissa vastaavat tekstit.
Goddamn on tainnut ottaa cronin pois käytöstä.
-
Goddamn on tainnut ottaa cronin pois käytöstä.
Juu, näin mäkin olisin muistellut, mutta kyllä se on päällä...
-
$ cat /etc/cron.daily/find
#! /bin/sh
#
# cron script to update the `locatedb' database.
#
# Written by Ian A. Murdock <imurdock@debian.org> and
# Kevin Dalley <kevin@aimnet.com>
LOCALUSER="nobody"
export LOCALUSER
if [ -f /etc/updatedb.conf ]; then
. /etc/updatedb.conf
fi
if getent passwd $LOCALUSER > /dev/null ; then
cd / && nice -n ${NICE:-10} updatedb 2>/dev/null
else
echo "User $LOCALUSER does not exist."
exit 1
fi
man updatedb
...
--localuser=user
The user to search non-network directories as, using su(1). Default is to search the non-network directories as
the current user. You can also use the environment variable LOCALUSER to set this user.
Eli updatedb:n etsintä ajetaan käyttäjän nobody oikeuksin. Taitaa olla turvallisuuden kannalta ennemmin plussaa kuin miinusta.
-
Jep, eihän tossa edes lue sshd, eli siinä ei ole ssh:sta kyse.