Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 13/01/2006, à 14:02

gadget

Sécurité (logs) [résolu]

Je commence à m'intéresser aux logs de mon serveur et j'ai trouvé ça sur "auth.log":

Jan 13 06:25:02 Serveur su[6226]: + ??? root:nobody
Jan 13 06:25:02 Serveur su[6226]: (pam_unix) session opened for user nobody by (uid=0)
Jan 13 06:25:02 Serveur su[6226]: (pam_unix) session closed for user nobody
Jan 13 06:25:02 Serveur su[6230]: + ??? root:nobody
Jan 13 06:25:02 Serveur su[6230]: (pam_unix) session opened for user nobody by (uid=0)
Jan 13 06:25:02 Serveur su[6230]: (pam_unix) session closed for user nobody
Jan 13 06:25:02 Serveur su[6232]: + ??? root:nobody
Jan 13 06:25:02 Serveur su[6232]: (pam_unix) session opened for user nobody by (uid=0)
Jan 13 06:25:16 Serveur su[6232]: (pam_unix) session closed for user nobody

Qu'est-ce que vous en pensez? hmm

Dernière modification par gadget (Le 13/01/2006, à 19:34)

Hors ligne

#2 Le 13/01/2006, à 15:36

gadget

Re : Sécurité (logs) [résolu]

Bon, d'après un forum américain où la question a déjà été posée, ce serait normal (taches cron).
Mais si quelqu'un veut confirmer ...

Hors ligne

#3 Le 13/01/2006, à 15:40

Desintegr

Re : Sécurité (logs) [résolu]

Je pense que c'est normal.
nobody est utilisé par des daemons qui n'ont pas d'être propriétaire de fichier. C'est le cas pour les tâches cron.

Selon le manuel de sécurisation Debian. :

Vous pouvez trouver des lignes comme ceci dans vos journaux :

       Apr  1 09:25:01 server su[30315]: + ??? root-nobody
       Apr  1 09:25:01 server PAM_unix[30315]: (su) session opened for user nobody by (UID=0)

Ne vous inquiétez pas trop. Vérifiez que ces entrées sont dues à des tâches cron (habituellement, /etc/cron.daily/find ou logrotate) :

$ grep 25 /etc/crontab
25 6    * * *   root    test -e /usr/sbin/anacron || run-parts --report
/etc/cron.daily
$ grep nobody /etc/cron.daily/*
find:cd / && updatedb --localuser=nobody 2>/dev/null

Par exemple, quelque chose qui ne serait pas trop normal :

sshd[19341]: Invalid user webmaster from 210.21.94.153
sshd[19346]: Invalid user oracle from 210.21.94.153
sshd[19348]: Invalid user library from 210.21.94.153
sshd[19350]: Invalid user info from 210.21.94.153
sshd[19355]: Invalid user shell from 210.21.94.153

Dernière modification par Desintegr (Le 13/01/2006, à 15:44)


Hoc Volo, Sic Jubeo !
Mon wiki : http://desintegr.free.fr

Hors ligne

#4 Le 13/01/2006, à 19:32

gadget

Re : Sécurité (logs) [résolu]

Ca rejoint ce que j'avais lu.
Merci  smile

Hors ligne