[ubuntu-tr] Ubuntu server log dosyaları ve güvenlik...
Timuçin Kızılay
tim at savaskarsitlari.org
25 Haz 2007 Pzt 10:38:41 BST
Bu logların tam öncesinde ve sonrasında crontab'ın birtakım işler
yaptığını gördüm. demek ki bunlar da onun marifetiymiş diye yorumladım
ama yine de bir bilenlere sorayım dedim. Teşekkürler...
Murat Tepegoz yazmış:
> Merhaba Timucin,
> Crontab bazi taskler icin nobody userini kullaniyor sanirim. Ancak tum
> taskler icin degil. Tam olarak nerelerde kullandigini bir ara
> okumustum, ancak o dokumanlari bulamadim. Istersen bu konuyu arastir.
> Yani muhtemelen auth.log dosyalarindaki nobody crontab'in yaptigi
> islerdir. Zaten zaman olarak da cok periodik olmasi crontab'i
> cagristiriyor. /etc/crontab'dan bu zamanda yani "6:25"te tanimlanmis
> bir is var mi diye de bakabilirsin.
>
> Iyi calismalar
> Murat
>
>
> On 6/23/07, Timuçin Kızılay <tim at savaskarsitlari.org> wrote:
>> Merhabalar,
>>
>> Yaklaşık 6 ay boyunca kendi makinamda linux kullanıyordum. Windows 2000
>> ile çalışan bir sunucum diskleri değişme zamanı geldiğinde hazır
>> kurmuşken Linux kurdum. Sunucu DNS server ve vmware-server servisleri
>> veriyor, başka bir iş yapmıyor. Ubuntu 6.06 server sürümünü kurdum. Bunu
>> seçerken kendi makinamda kubuntu ve debian alışkanlıklarıma yakın diye
>> ve vmware yazılımının web sitesinde desteklenen linux sürümleri arasında
>> olduğu için seçtim. Sunucu bir ISP'de internete direkt bağlı. Ben
>> uzaktan ssh ile erişip bağlanıyorum. Yaklaşık 5 gündür sorunsuz
>> çalışıyor ama aklıma takılan konular var. Şimdi bu makinaya bağlanmak
>> için ssh kullanıyorum ve default portunu değiştirdim. /var/log/auth.log
>> dosyasına ara sıra bakıyorum şöyle tuhaf birşey gördüm :
>> ---------------
>> Jun 21 06:25:02 dns1 su[7875]: + ??? root:nobody
>> Jun 21 06:25:02 dns1 su[7875]: (pam_unix) session opened for user nobody
>> by (uid=0)
>> Jun 21 06:25:02 dns1 su[7875]: (pam_unix) session closed for user nobody
>> Jun 21 06:25:02 dns1 su[7879]: + ??? root:nobody
>> Jun 21 06:25:02 dns1 su[7879]: (pam_unix) session opened for user nobody
>> by (uid=0)
>> Jun 21 06:25:02 dns1 su[7879]: (pam_unix) session closed for user nobody
>> Jun 21 06:25:02 dns1 su[7881]: + ??? root:nobody
>> Jun 21 06:25:02 dns1 su[7881]: (pam_unix) session opened for user nobody
>> by (uid=0)
>> Jun 21 06:25:56 dns1 su[7881]: (pam_unix) session closed for user nobody
>> Jun 22 06:25:02 dns1 su[4702]: + ??? root:nobody
>> Jun 22 06:25:02 dns1 su[4702]: (pam_unix) session opened for user nobody
>> by (uid=0)
>> Jun 22 06:25:02 dns1 su[4702]: (pam_unix) session closed for user nobody
>> Jun 22 06:25:02 dns1 su[4704]: + ??? root:nobody
>> Jun 22 06:25:02 dns1 su[4704]: (pam_unix) session opened for user nobody
>> by (uid=0)
>> Jun 22 06:25:02 dns1 su[4704]: (pam_unix) session closed for user nobody
>> Jun 22 06:25:02 dns1 su[4706]: + ??? root:nobody
>> Jun 22 06:25:02 dns1 su[4706]: (pam_unix) session opened for user nobody
>> by (uid=0)
>> Jun 22 06:25:56 dns1 su[4706]: (pam_unix) session closed for user nobody
>> ---------------
>>
>> Buradan anladığım nobody diye bir user su ile root olmuş ama uzaktan
>> biri mi bağlanmış birşeyler yapmış yoksa sistemin normal çalışmasından
>> gelen bir log mu bilemiyorum. Bir yorum getirebilecek var mı?
>>
>>
>>
>> Bir de bu auth.log dosyasından başka kontrol etmem gereken log dosyası
>> var mıdır? Bir de bu log dosyaları zamanla büyüyor. syslog dosyasını
>> logrotate servisi arşivliyor ama diğer log dosyaları kendi halinde
>> duruyor. log dosyasını arşivlemek için dosyanın adını değiştirip
>> aynısından bir tane daha yaratıyorum ama bu günlük olarak elle yapmakla
>> başa çıkmaz, mutlaka bir yolu vardır. logrotate ile ilgili dokumanları
>> okuyorum ama henüz ilerleme olmadı.
>>
>>
>> --
>> ubuntu-tr mailing list
>> ubuntu-tr at lists.ubuntu.com
>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-tr
>>
More information about the ubuntu-tr
mailing list