Pages : 1
#1 Le 04/08/2018, à 13:42
- Ahote
[RESOLU] interprétation auth.log
bonjour,
j'ai mis fail2ban en place sur mon serveur (ubuntu 18.04LTS)
et j'ai changé le port SSH ce qui a bien limité la quantité des connexion auth.log
mais il reste toujours une ligne qui revient constamment et je me demande ce que c'est.
ca apparaît mème sans sollicitation de ma part
je met un extrait de mes logs /var/log/auth.log:
Aug 2 22:17:01 dtc CRON[466]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 2 22:17:01 dtc CRON[466]: pam_unix(cron:session): session closed for user root
Aug 2 23:17:01 dtc CRON[1046]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 2 23:17:01 dtc CRON[1046]: pam_unix(cron:session): session closed for user root
Aug 3 00:17:01 dtc CRON[1238]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 00:17:01 dtc CRON[1238]: pam_unix(cron:session): session closed for user root
Aug 3 01:17:01 dtc CRON[1306]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 01:17:02 dtc CRON[1306]: pam_unix(cron:session): session closed for user root
Aug 3 02:17:02 dtc CRON[1375]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 02:17:02 dtc CRON[1375]: pam_unix(cron:session): session closed for user root
Aug 3 03:17:01 dtc CRON[1442]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 03:17:01 dtc CRON[1442]: pam_unix(cron:session): session closed for user root
Aug 3 04:17:01 dtc CRON[1519]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 04:17:01 dtc CRON[1519]: pam_unix(cron:session): session closed for user root
Aug 3 05:17:01 dtc CRON[1650]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 05:17:01 dtc CRON[1650]: pam_unix(cron:session): session closed for user root
Aug 3 06:17:01 dtc CRON[1734]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 06:17:01 dtc CRON[1734]: pam_unix(cron:session): session closed for user root
Aug 3 06:25:01 dtc CRON[1746]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 06:25:09 dtc CRON[1746]: pam_unix(cron:session): session closed for user root
Aug 3 07:17:01 dtc CRON[2029]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 07:17:01 dtc CRON[2029]: pam_unix(cron:session): session closed for user root
Aug 3 08:02:01 dtc CRON[2094]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 08:02:01 dtc CRON[2094]: pam_unix(cron:session): session closed for user root
Aug 3 08:17:01 dtc CRON[2115]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 08:17:01 dtc CRON[2115]: pam_unix(cron:session): session closed for user root
Aug 3 09:17:01 dtc CRON[2194]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 09:17:01 dtc CRON[2194]: pam_unix(cron:session): session closed for user root
Aug 3 10:17:01 dtc CRON[2272]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 10:17:01 dtc CRON[2272]: pam_unix(cron:session): session closed for user root
Aug 3 11:17:01 dtc CRON[2682]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 11:17:01 dtc CRON[2682]: pam_unix(cron:session): session closed for user root
Aug 3 12:17:01 dtc CRON[2781]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 12:17:01 dtc CRON[2781]: pam_unix(cron:session): session closed for user root
Aug 3 13:17:01 dtc CRON[2852]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 13:17:01 dtc CRON[2852]: pam_unix(cron:session): session closed for user root
Aug 3 14:17:01 dtc CRON[2928]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 14:17:01 dtc CRON[2928]: pam_unix(cron:session): session closed for user root
Aug 3 15:17:01 dtc CRON[3006]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 15:17:01 dtc CRON[3006]: pam_unix(cron:session): session closed for user root
Aug 3 16:17:01 dtc CRON[3083]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 16:17:02 dtc CRON[3083]: pam_unix(cron:session): session closed for user root
Aug 3 17:17:01 dtc CRON[3208]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 17:17:01 dtc CRON[3208]: pam_unix(cron:session): session closed for user root
Aug 3 18:17:01 dtc CRON[3293]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 18:17:01 dtc CRON[3293]: pam_unix(cron:session): session closed for user root
Aug 3 19:17:01 dtc CRON[3374]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 19:17:01 dtc CRON[3374]: pam_unix(cron:session): session closed for user root
Aug 3 20:17:01 dtc CRON[3525]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 20:17:01 dtc CRON[3525]: pam_unix(cron:session): session closed for user root
Aug 3 21:17:01 dtc CRON[3603]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 21:17:01 dtc CRON[3603]: pam_unix(cron:session): session closed for user root
Aug 3 22:17:01 dtc CRON[3680]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 22:17:01 dtc CRON[3680]: pam_unix(cron:session): session closed for user root
Aug 3 23:17:01 dtc CRON[3763]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 3 23:17:01 dtc CRON[3763]: pam_unix(cron:session): session closed for user root
Aug 4 00:17:01 dtc CRON[3838]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 4 00:17:01 dtc CRON[3838]: pam_unix(cron:session): session closed for user root
Aug 4 01:17:01 dtc CRON[3923]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 4 01:17:01 dtc CRON[3923]: pam_unix(cron:session): session closed for user root
Aug 4 02:17:01 dtc CRON[4010]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 4 02:17:01 dtc CRON[4010]: pam_unix(cron:session): session closed for user root
Aug 4 03:17:01 dtc CRON[4091]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 4 03:17:01 dtc CRON[4091]: pam_unix(cron:session): session closed for user root
Aug 4 04:17:01 dtc CRON[4180]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 4 04:17:01 dtc CRON[4180]: pam_unix(cron:session): session closed for user root
Aug 4 05:17:01 dtc CRON[4270]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 4 05:17:01 dtc CRON[4270]: pam_unix(cron:session): session closed for user root
Aug 4 06:17:01 dtc CRON[4503]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 4 06:17:01 dtc CRON[4503]: pam_unix(cron:session): session closed for user root
Aug 4 06:25:01 dtc CRON[4516]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 4 06:25:12 dtc CRON[4516]: pam_unix(cron:session): session closed for user root
Aug 4 07:17:01 dtc CRON[4713]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 4 07:17:01 dtc CRON[4713]: pam_unix(cron:session): session closed for user root
Aug 4 08:02:01 dtc CRON[4782]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 4 08:02:01 dtc CRON[4782]: pam_unix(cron:session): session closed for user root
Aug 4 08:17:01 dtc CRON[4803]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 4 08:17:01 dtc CRON[4803]: pam_unix(cron:session): session closed for user root
Aug 4 09:17:01 dtc CRON[4884]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 4 09:17:01 dtc CRON[4884]: pam_unix(cron:session): session closed for user root
Aug 4 10:17:01 dtc CRON[4959]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 4 10:17:01 dtc CRON[4959]: pam_unix(cron:session): session closed for user root
Aug 4 11:17:01 dtc CRON[5039]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 4 11:17:01 dtc CRON[5039]: pam_unix(cron:session): session closed for user root
Aug 4 12:17:01 dtc CRON[5129]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 4 12:17:01 dtc CRON[5129]: pam_unix(cron:session): session closed for user root
Aug 4 13:17:01 dtc CRON[5208]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 4 13:17:01 dtc CRON[5208]: pam_unix(cron:session): session closed for user root
Aug 4 14:17:01 dtc CRON[5279]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 4 14:17:01 dtc CRON[5279]: pam_unix(cron:session): session closed for user root
voila donc si qqun sait interprété ces logs je suis curieux de savoir ce que c'est et si je peut faire en sorte de les stoppé si c'est qqch de "mauvais"
merci d'avance :-)
SOLUTION SUR RÉPONSSE #15
Dernière modification par Ahote (Le 05/08/2018, à 18:53)
Hors ligne
#2 Le 04/08/2018, à 14:32
- Nuliel
Re : [RESOLU] interprétation auth.log
Bonjour,
Que retourne
sudo crontab -l
Hors ligne
#3 Le 04/08/2018, à 14:49
- Ahote
Re : [RESOLU] interprétation auth.log
no crontab for root
ps: entre temps j'ai ajouté la ligne "allowusers xxx" dans sshd_config je me suis dit que ca ne pouvait pas faire de mal mais je n'ai pas encore de recul pour savoir si ca change qqch au problème cité
Hors ligne
#4 Le 04/08/2018, à 15:39
- Nuliel
Re : [RESOLU] interprétation auth.log
Il y a une tâche cron exécutée toutes les heures (bizzarement les minutes sont pas toujours les mêmes) de la part de root, faudrait trouver ce que c'est.
Peut être que
systemctl list-timers
va aider à trouver la raison
Sinon, il y a pas mal de dossiers pour les tâches cron qui sont listées https://unix.stackexchange.com/question … my-machine dans le post 2, je te laisse regarder les différents fichiers contenus dans ces dossiers pour trouver le coupable, mais regarde /etc/cron.hourly/ en premier vu que c'est exécuté toutes les heures
Hors ligne
#5 Le 04/08/2018, à 15:52
- Ahote
Re : [RESOLU] interprétation auth.log
merci je vais cherché de ce coté la,
pour le moment je doit m’absenté a cause d'une urgence mais je travaillerait dessus ce soir en rentrant,
je colle le retour de systemctl list-timers -a
ahote@dtc:~$ systemctl list-timers -a
NEXT LEFT LAST PASSED UNIT ACTIVATES
Sat 2018-08-04 18:10:13 CEST 1h 20min left Sat 2018-08-04 05:51:59 CEST 10h ago motd-news.timer motd-news.service
Sun 2018-08-05 05:01:15 CEST 12h left Sat 2018-08-04 15:37:46 CEST 1h 12min ago apt-daily.timer apt-daily.service
Sun 2018-08-05 06:32:36 CEST 13h left Sat 2018-08-04 06:08:39 CEST 10h ago apt-daily-upgrade.timer apt-daily-upgrade.service
Sun 2018-08-05 11:42:22 CEST 18h left Sat 2018-08-04 11:42:22 CEST 5h 7min ago systemd-tmpfiles-clean.timer systemd-tmpfiles-clean.service
Mon 2018-08-06 00:00:00 CEST 1 day 7h left Mon 2018-07-30 00:00:00 CEST 5 days ago fstrim.timer fstrim.service
n/a n/a n/a n/a snapd.snap-repair.timer snapd.snap-repair.service
n/a n/a Sun 2018-07-29 11:28:30 CEST 6 days ago ureadahead-stop.timer ureadahead-stop.service
7 timers listed.
Hors ligne
#6 Le 05/08/2018, à 08:16
- Ahote
Re : [RESOLU] interprétation auth.log
bonjour,
je pense avoir trouvé le coupable
voici le contenu de mon fichier /etc/crontab
# /etc/crontab: system-wide crontab
# Unlike any other crontab you don't have to run the `crontab'
# command to install the new version when you edit this file
# and files in /etc/cron.d. These files also have username fields,
# that none of the other crontabs do.
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
# m h dom mon dow user command
17 * * * * root cd / && run-parts --report /etc/cron.hourly
25 6 * * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6 * * 7 root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6 1 * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
#
je supose que ca vient de la ligne :
17 * * * * root cd / && run-parts --report /etc/cron.hourly
mais honnêtement je n'ai pas la moindre idée de l'utilité de celle-ci, comment savoir ce quelle exécute ?
Hors ligne
#7 Le 05/08/2018, à 08:28
- xubu1957
Re : [RESOLU] interprétation auth.log
Bonjour,
Dans > crontab-execute-une-commande-crontab-mauvaise-heure
Le role d’anacron est de lancer toutes les commandes que cron aurait loupé parce que la machine est éteinte par exemple.
Tu n’aurais pas un probléme de config de l’heure sur ton PC ?
La plus simple est d’avoir l’heure BIOS en GMT et de configurer le fuseau horaire dans debian.
Mais ça ne marche pas en double boot avec windows car celui ci va écrire l’heure locale dans le BIOS.
Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Réso|u] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci. Membre de Linux-Azur
En ligne
#8 Le 05/08/2018, à 08:39
- Ahote
Re : [RESOLU] interprétation auth.log
Bonjour,
Dans > crontab-execute-une-commande-crontab-mauvaise-heure
Le role d’anacron est de lancer toutes les commandes que cron aurait loupé parce que la machine est éteinte par exemple.
Tu n’aurais pas un probléme de config de l’heure sur ton PC ?
La plus simple est d’avoir l’heure BIOS en GMT et de configurer le fuseau horaire dans debian.
Mais ça ne marche pas en double boot avec windows car celui ci va écrire l’heure locale dans le BIOS.
j'avais déjà lue ce post mais il ne semble pas avoir le mème problème que moi
lorsque je me log mon serveur me donne bien la bonne heure (comment savoir si il y a un problème ?)
mon bios est a l'heure locale et pas de dual boot winwin
anacron n'est pas installé
Hors ligne
#9 Le 05/08/2018, à 08:47
- xubu1957
Re : [RESOLU] interprétation auth.log
Une piste dans > [résolu] Tâches cron.hourly ?
Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Réso|u] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci. Membre de Linux-Azur
En ligne
#10 Le 05/08/2018, à 09:06
- Ahote
Re : [RESOLU] interprétation auth.log
déjà lu aussi lol :-)
je n'ai créé aucun script cron
et le dossier cron.hourly n'en contient pas
Hors ligne
#11 Le 05/08/2018, à 09:25
- Nuliel
Re : [RESOLU] interprétation auth.log
A mon avis, cron se reveille à l'heure indiquée, lance un shell root, voit qu'il n'y a rien à faire, stoppe le shell.
Ca pourrit un peu les logs au final...
Dernière modification par Nuliel (Le 05/08/2018, à 09:25)
Hors ligne
#12 Le 05/08/2018, à 10:44
- Ahote
Re : [RESOLU] interprétation auth.log
A mon avis, cron se reveille à l'heure indiquée, lance un shell root, voit qu'il n'y a rien à faire, stoppe le shell.
Ca pourrit un peu les logs au final...
c'est ce que j'avais cru comprendre aussi lol mais sans être sur,
est-ce judicieux de commenté la ligne ?
sinon j'ai vue que certain se débrouillait pou séparé les logs cron dans un fichier log dédié mais je n'y suis pas arrivé ...
Hors ligne
#13 Le 05/08/2018, à 11:02
- Nuliel
Re : [RESOLU] interprétation auth.log
est-ce judicieux de commenté la ligne ?
Pour moi non vu que le système peut avoir besoin de créer une tâche cron (exemple: antivirus)
Du coup, à part séparer les logs cron, je vois pas trop quoi faire (au passage si tu veux voir les infos intéressantes dans ce tas de lignes à répétition, tu peux trier avec grep et le paramètre -v)
Le fichier /etc/rsyslog.d/50-default.conf permet de rediriger les logs. il faut peut être enlever le # devant "cron.* /var/log/cron.log", puis faire
sudo service rsyslog restart
et attendre patiemment pendant 1h
Hum, c'est dommage, on aurait dû comparer avec le fichier syslog depuis le début, on aurait trouvé la commande lancée plus vite
Dernière modification par Nuliel (Le 05/08/2018, à 11:03)
Hors ligne
#14 Le 05/08/2018, à 11:32
- Ahote
Re : [RESOLU] interprétation auth.log
Du coup, à part séparer les logs cron, je vois pas trop quoi faire (au passage si tu veux voir les infos intéressantes dans ce tas de lignes à répétition, tu peux trier avec grep et le paramètre -v)
pas bête le grep -v :-) mais ca reste fastidieux a mon avi, surtout que la plus part du temps je lis mes logs sur smartphone
séparé les logs me semble être la meilleur solution :-) grace a toi je sais enfin comment faire lol, je ne cherchait pas dans le bon fichier...
Le fichier /etc/rsyslog.d/50-default.conf permet de rediriger les logs. il faut peut être enlever le # devant "cron.* /var/log/cron.log", puis faire
sudo service rsyslog restart
et attendre patiemment pendant 1h
c'est fait, wait & see
Hum, c'est dommage, on aurait dû comparer avec le fichier syslog depuis le début, on aurait trouvé la commande lancée plus vite
j'avais fouillé un peut de ce coté mais sans trouvé qqch de concret lol , il y a encore beaucoup de zone que je n'ai pasencore explorer dans linux ;-p
je te tien au courant dans 1 heures :-)
merci beucoup
Hors ligne
#15 Le 05/08/2018, à 11:58
- bruno
Re : [RESOLU] interprétation auth.log
Bonjour,
Tes logs sont tout à fait normaux. Il n'ya aucune raison de « bidouiller » pour supprimer cela.
Ces lignes correspondent effectivement au tâches cron (cron.hourly, même si le dossier ne contient pas de scripts) lancées par le système (par root).
Si tu tiens absolument à ne plus voir cela dans auth.log, modifie le fichier /etc/rsyslog.d/50-default.conf de :
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
#cron.* /var/log/cron.log
vers:
*.*;auth,authpriv.none -/var/log/syslog
# Si le programme est cron , on envoie vers cron.log
:programname, isequal, "CRON" ~
cron.* /var/log/cron.log
auth,authpriv.* /var/log/auth.log
Et penser à relancer le service :
sudo systemctl restart rsyslog
Dernière modification par bruno (Le 05/08/2018, à 15:29)
#16 Le 05/08/2018, à 13:08
- Ahote
Re : [RESOLU] interprétation auth.log
petit retour :
dé-commenté la ligne :
#cron.* /var/log/cron.log
n'a rien changé
du coup :j'ai ajouté la ligne :
:programname, isequal, "CRON" ~
verdict dans une heure :-)
Hors ligne
#17 Le 05/08/2018, à 13:20
- Ahote
Re : [RESOLU] interprétation auth.log
pas besoin d'attendre au-temps
Aug 5 14:17:01 dtc CRON[5141]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 5 14:17:01 dtc CRON[5141]: pam_unix(cron:session): session closed for user root
Hors ligne
#18 Le 05/08/2018, à 15:26
- bruno
Re : [RESOLU] interprétation auth.log
Si tu fais exactement ce que j'ai indiqué en #15 cela doit fonctionner.
#19 Le 05/08/2018, à 18:10
- Ahote
Re : [RESOLU] interprétation auth.log
voici mon fichier /etc/rsyslog.d/50-default.conf , est-ce que j'ai oublié qqch ?
EDIT: J'AI VUE QUE J'AVAIS FAIT UNE FAUTE DE FRAPPE.... HONTE SUR MOI LOL
J'AI MODIFIER LE RENDU JUSTE EN DESSOUS POUR NE PAS INDUIRE QQUN EN ERREUR
ET JE PASSE LE POST EN |RESOLU]
MERCI ENCORE A VOUS DEUX
$ cat /etc/rsyslog.d/50-default.conf
# Default rules for rsyslog.
#
# For more information see rsyslog.conf(5) and /etc/rsyslog.conf
#
# First some standard log files. Log by facility.
#
*.*;auth,authpriv.none -/var/log/syslog
:programname, isequal, "CRON" ~
cron.* /var/log/cron.log
auth,authpriv.* /var/log/auth.log
#daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
#lpr.* -/var/log/lpr.log
mail.* -/var/log/mail.log
#user.* -/var/log/user.log
#
# Logging for the mail system. Split it up so that
# it is easy to write scripts to parse these files.
#
#mail.info -/var/log/mail.info
#mail.warn -/var/log/mail.warn
mail.err /var/log/mail.err
#
# Some "catch-all" log files.
#
#*.=debug;\
# auth,authpriv.none;\
# news.none;mail.none -/var/log/debug
#*.=info;*.=notice;*.=warn;\
# auth,authpriv.none;\
# cron,daemon.none;\
# mail,news.none -/var/log/messages
#
# Emergencies are sent to everybody logged in.
#
*.emerg :omusrmsg:*
#
# I like to have messages displayed on the console, but only on a virtual
# console I usually leave idle.
#
#daemon,mail.*;\
# news.=crit;news.=err;news.=notice;\
# *.=debug;*.=info;\
# *.=notice;*.=warn /dev/tty8
Dernière modification par Ahote (Le 05/08/2018, à 18:51)
Hors ligne
#20 Le 05/08/2018, à 18:57
- Ahote
Re : [RESOLU] interprétation auth.log
ce qui est dommage par contre c'est que les logs n'apparaisse pas dans cron.log
il y a une seule ligne :
$ cat /var/log/cron.log
Aug 5 13:17:01 dtc CRON[4728]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)
Hors ligne
Pages : 1