Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: [opgelost] systeemlogboek : uitleg /var/log/auth.log  (gelezen 1966 keer)

Offline plek

  • Lid
  • Steunpunt: Nee
[opgelost] systeemlogboek : uitleg /var/log/auth.log
« Gepost op: 2009/02/02, 21:04:21 »
Mijn PC heeft drie gebruikers: alpha (die heeft Ubuntu 8.04 geïnstalleerd), denise en stephan (beide toegevoegde accounts). In /var/log/auth.log kwam ik twee bijzondere zaken tegen.

1. Spoken op de computer?
Feb  2 00:17:01 alpha-desktop CRON[6636]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb  2 00:17:02 alpha-desktop CRON[6636]: pam_unix(cron:session): session closed for user root
Feb  2 00:22:40 alpha-desktop gdm[5161]: pam_nologin(gdm:auth): cannot determine username

Dit waren de enige drie regels rondom dit tijdstip; de volgende regel had als tijd 09:30. Omdat we volgens mij allemaal op één oor lagen en de PC uit was, vind ik deze log vreemd. Iemand enig idee wat dit kan zijn?

2. Is er iets mis met de autorisaties?
Feb  2 09:30:04 alpha-desktop gdm[5159]: pam_unix(gdm:session): session opened for user denise by (uid=0)
Feb  2 09:34:55 alpha-desktop sudo:     root : TTY=unknown ; PWD=/ ; USER=alpha ; COMMAND=/usr/bin/gconftool --get /system/http_proxy/use_http_proxy
Feb  2 09:34:55 alpha-desktop sudo: pam_unix(sudo:session): session opened for user alpha by (uid=0)
Feb  2 09:34:55 alpha-desktop sudo: pam_unix(sudo:session): session closed for user alpha
Feb  2 09:34:55 alpha-desktop sudo:     root : TTY=unknown ; PWD=/ ; USER=alpha ; COMMAND=/usr/bin/gconftool --get /system/http_proxy/host
Feb  2 09:34:56 alpha-desktop sudo: pam_unix(sudo:session): session opened for user alpha by (uid=0)
Feb  2 09:34:56 alpha-desktop sudo: pam_unix(sudo:session): session closed for user alpha
Feb  2 09:34:56 alpha-desktop sudo:     root : TTY=unknown ; PWD=/ ; USER=alpha ; COMMAND=/usr/bin/gconftool --get /system/http_proxy/port
Feb  2 09:34:56 alpha-desktop sudo: pam_unix(sudo:session): session opened for user alpha by (uid=0)
Feb  2 09:34:57 alpha-desktop sudo: pam_unix(sudo:session): session closed for user alpha
Feb  2 10:17:01 alpha-desktop CRON[6580]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb  2 10:17:01 alpha-desktop CRON[6580]: pam_unix(cron:session): session closed for user root
Feb  2 10:54:07 alpha-desktop gdm[5159]: pam_unix(gdm:session): session closed for user denise

Sessie van user denise begint om 9:30 (aanzetten PC) en eindigt om 10:54, maar tussendoor zijn er ook regels mbt user alpha en user root. Hoort dat zo, of is er iets heel erg mis?

Alvast bedankt voor de reactie.

Groet, Peter
« Laatst bewerkt op: 2009/02/23, 11:49:06 door plek »

Offline ivo

  • Lid
  • Steunpunt: Nee
Re: systeemlogboek : uitleg /var/log/auth.log
« Reactie #1 Gepost op: 2009/02/02, 21:32:00 »
Mijn PC heeft drie gebruikers: alpha (die heeft Ubuntu 8.04 geïnstalleerd), denise en stephan (beide toegevoegde accounts). In /var/log/auth.log kwam ik twee bijzondere zaken tegen.

1. Spoken op de computer?
Feb  2 00:17:01 alpha-desktop CRON[6636]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb  2 00:17:02 alpha-desktop CRON[6636]: pam_unix(cron:session): session closed for user root


Doe in een terminal eens

sudo crontab -l                            (dat is een kleine L op het eind)

en zet de output hier eens neer.
There are only 10 types of people in the world; those who understand binary and those who don't.

Offline plek

  • Lid
  • Steunpunt: Nee
Re: systeemlogboek : uitleg /var/log/auth.log
« Reactie #2 Gepost op: 2009/02/02, 21:42:27 »
ivo,

Dank voor je reactie. Met kopie-plakken je commando ingevoerd. Resultaat: no crontab for root.

Offline ivo

  • Lid
  • Steunpunt: Nee
Re: systeemlogboek : uitleg /var/log/auth.log
« Reactie #3 Gepost op: 2009/02/02, 22:33:29 »
Apart dat ie op 00:17:01 een cron sessie start.
Nee, ik heb geen idee verder.

Iemand anders met meer OS security achtergrond dan ik?

There are only 10 types of people in the world; those who understand binary and those who don't.

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: systeemlogboek : uitleg /var/log/auth.log
« Reactie #4 Gepost op: 2009/02/02, 22:36:49 »
crontab is voor extra geplande taken. Deze zijn er blijkbaar niet.

Daarnaast worden ook de taken in /etc/cron.d, /etc/cron.hourly, /etc/cron.weekly en /etc/cron.monthly uitgevoerd.

Als je wilt weten welke taken er periodiek worden uitgevoerd kan je de bestanden in deze mappen bekijken. Daar zal je bestanden vinden die zorgen voor het onderhouden van je systeem. Met het nodige speurwerk zal je de inlogpogingen kunnen verklaren.

De bestanden zijn opgemaakt in het formaat:
minuut, uur, dag van de maand, maand, dag van de week gebruiker terminal-opdracht
voor minuut, uur, dag enz. kan ook een jokerteken (*) zijn opgegeven wat wil zeggen iedere minuut, uur, dag, enz.

Zo zie ik op mijn systeem /etc/cron.d/update-motd die iedere 10 minuten het inlogscherm ververst (de systeem status bij ssh inlog op Intrepid 9.04 server).

Er zijn inderdaad "spoken" op je computer, althans demonen, in het engels daemons genoemd.
http://nl.wikipedia.org/wiki/Daemon_(Unix)
Ik heb zojuit de Sleepnet-kieswijzer ingevuld op www.waartrekjijdegrens.nl/

Offline AutoStatic

  • Lid
    • autostatic
    • linux.autostatic.com - Audio Productie & Linux
  • Steunpunt: Nee
Re: systeemlogboek : uitleg /var/log/auth.log
« Reactie #5 Gepost op: 2009/02/03, 10:00:44 »
Hallo piek, zo te zien niks aan de hand. De cronjobs heeft testcees al uitgelegd en zo te zien heb je wat sudo taken uitgevoerd terwijl gebruiker Denise was ingelogd. Kan ook zijn dat gconftool de admin account (alpha dus kennelijk) gebruikt om gegevens op te vragen oid.

Offline plek

  • Lid
  • Steunpunt: Nee
Re: systeemlogboek : uitleg /var/log/auth.log
« Reactie #6 Gepost op: 2009/02/03, 20:10:47 »
@testcees Dank voor de heldere uitleg en dito link. Wat me toch nog verbaast is dat de activiteit plaatsvond terwijl naar mijn beste weten de PC uit was. Kan dat?

@AutoStatic Jij ook dank voor je antwoord. Bij mijn punt 2 was ik overigens niet met sudo-taken bezig; de regels waarin alpha en root worden genoemd zijn dan kennelijk door gconftool veroorzaakt. Daar ben ik wel blij om, omdat ik bang was dat denise ongewild/ongewenst, bewust/onbewust in het systeem aan het rommelen was.

Groet, Peter