palvelin murrettu?

[ilkkak]

auth.log:sta löytyi seuraavaa. Mahtaako olla normaalia vai mitä?

Jan  7 06:25:01 kimpinen CRON[11384]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan  7 06:25:01 kimpinen su[11413]: Successful su for nobody by root
Jan  7 06:25:01 kimpinen su[11413]: + root:nobody
Jan  7 06:25:01 kimpinen su[11413]: pam_unix(su:session): session opened for user nobody by (uid=0)
Jan  7 06:25:01 kimpinen su[11413]: pam_unix(su:session): session closed for user nobody
Jan  7 06:25:01 kimpinen su[11417]: Successful su for nobody by root
Jan  7 06:25:01 kimpinen su[11417]: + root:nobody
Jan  7 06:25:01 kimpinen su[11417]: pam_unix(su:session): session opened for user nobody by (uid=0)
Jan  7 06:25:01 kimpinen su[11417]: pam_unix(su:session): session closed for user nobody
Jan  7 06:25:01 kimpinen su[11419]: Successful su for nobody by root
Jan  7 06:25:01 kimpinen su[11419]: + root:nobody
Jan  7 06:25:01 kimpinen su[11419]: pam_unix(su:session): session opened for user nobody by (uid=0)
Jan  7 06:25:02 kimpinen su[11419]: pam_unix(su:session): session closed for user nobody
Jan  7 06:25:03 kimpinen CRON[11384]: pam_unix(cron:session): session closed for user root

[gdm]

Suosittelen lisäämään tuonne /etc/ssh/sshd_config
tiedoston loppuun rivin:

AllowUsers IlkkaK

Tai mikä nyt onkaan käyttäjätunnus koneella, ja muutenkin poistamaan root login pois käytöstä, samasta tiedostosta

[janne]

auth.log:sta löytyi seuraavaa. Mahtaako olla normaalia vai mitä?

no, käyttäjää nobody käytetään ajamaan joitain tiettyjä palveluita linux/unix-koneilla. jos sinulla on asennettuna palveluita (muistaakseni ainakin samba) joita ajetaan nobodyn oikeuksin, niin logi näyttäisi jotakuinkin tuollaiselta.

[gdm]

Koodia: [Valitse]

jumala@helvetti:~$ cat /var/log/auth.log |grep nobody
Dec 15 21:27:08 localhost groupadd[7464]: new group: name=nobody, GID=1001
Tuon enempää minulla ei ollut tarjota. mutta sinun ohjeillasi Janne minä ainakin tuon ssh:n muurasin umpeen

[ilkkak]

auth.log:sta löytyi seuraavaa. Mahtaako olla normaalia vai mitä?

no, käyttäjää nobody käytetään ajamaan joitain tiettyjä palveluita linux/unix-koneilla. jos sinulla on asennettuna palveluita (muistaakseni ainakin samba) joita ajetaan nobodyn oikeuksin, niin logi näyttäisi jotakuinkin tuollaiselta.

Epäilinkin. Laitetaan kuitenkin ssh-kiinni varmuuden vuoksi.
Kiitokset vastauksista

[anttimr]

Normaalia toimintaa.
Vilkaiskaapa /etc/crontab ja /etc/cron.daily/find
minulla on auth.logissa vastaavat tekstit.

Goddamn on tainnut ottaa cronin pois käytöstä.

[gdm]

Goddamn on tainnut ottaa cronin pois käytöstä.

Juu, näin mäkin olisin muistellut, mutta kyllä se on päällä...

[anttimr]

Koodia: [Valitse]

$ cat /etc/cron.daily/find
#! /bin/sh
#
# cron script to update the `locatedb' database.
#
# Written by Ian A. Murdock <imurdock@debian.org> and
#            Kevin Dalley <kevin@aimnet.com>

LOCALUSER="nobody"
export LOCALUSER
if [ -f /etc/updatedb.conf ]; then
  . /etc/updatedb.conf
fi

if getent passwd $LOCALUSER > /dev/null ; then
  cd / && nice -n ${NICE:-10} updatedb 2>/dev/null
else
  echo "User $LOCALUSER does not exist."
  exit 1
fi

Koodia: [Valitse]

man updatedb
...
--localuser=user
The user to search non-network directories as, using su(1).  Default is to search the non-network directories as
the current user.  You can also use the environment variable LOCALUSER to set this user.
Eli updatedb:n etsintä ajetaan käyttäjän nobody oikeuksin. Taitaa olla turvallisuuden kannalta ennemmin plussaa kuin miinusta.

[Tuplanolla]

Jep, eihän tossa edes lue sshd, eli siinä ei ole ssh:sta kyse.