Por que vejo uma sessão CRON abrindo e fechando a cada hora em /var/log/auth.log?

Navegue suas respostas
33

Eu sou bem fresco com o Linux como um todo, então essa pode ser uma pergunta boba - mas Eu ainda gostaria de saber a resposta

Hoje de manhã, quando olho para o meu /var/log/auth.log (que me disseram para criar um hábito) Percebo que uma vez por hora registrou um evento assim: 

     May 13 20:17:01 Ubuntu-Server-1401-VM CRON[2280]: pam_unix(cron:session): session opened for user root by (uid=0)
     May 13 20:17:01 Ubuntu-Server-1401-VM CRON[2280]: session closed for user root

Em seguida, aconteceu a cada hora em x: 17: 01 até que eu abri o log. Uma conexão SSH com esse servidor foi mantida ativa durante esse período (onde ocorreram os logs). Meu melhor palpite é que a cada hora meu cliente SSH olhou para ver se poderia ou não obter acesso root como uma maneira de verificar a conexão com a conexão SSH para o servidor - mas eu gostaria de estar no lado seguro. Alguém sabe o que é isso?

    
por Terje Gundersen 14.05.2014 / 03:43

2 respostas

42

Supondo que você não tenha alterado nada do padrão cron setup, este é seu /etc/crontab em execução. No meu servidor Ubuntu 10.04.3 LTS, seu conteúdo inclui: 

# m h dom mon dow user  command
17 *    * * *   root    cd / && run-parts --report /etc/cron.hourly

Então, cron acorda a cada hora e executa todos os scripts localizados em /etc/cron.hourly . Você provavelmente não tem nenhum, e é por isso que ele não faz nada. Ele simplesmente executa uma sessão root que executa run-parts e depois fecha a sessão novamente.

    
por terdon 14.05.2014 / 03:49
10

Essas entradas de log foram gravadas pelas bibliotecas do PAM quando o daemon crond executou tarefas em segundo plano. crond executa trabalhos em um agendamento, em nome do sistema e dos usuários no sistema.

Todo usuário tem seu próprio arquivo de configuração crontab , que pode ser editado com o comando crontab -e ou mostrado usando crontab -l . O administrador do sistema também pode configurar tarefas através de uma infinidade de arquivos e diretórios /etc/ ; /etc/cron.d/ fornece um local fácil para os serviços soltarem suas próprias configurações e /etc/crontab direciona os diretórios hourly , daily e weekly , além de executar o que o administrador decidir executar.

crond mudará os usuários para o usuário correto (especificado no arquivo /etc/crontab e no diretório /etc/cron.d/ ou nos arquivos crontab fornecidos pelo usuário) antes de executar as tarefas; ele usa o sistema PAM para alterar os usuários.

O PAM fornece um único local para configurar diferentes maneiras de autenticar e autorizar usuários e fornecer configuração de sessão, além de fornecer uma maneira de alterar senhas (ou outros tokens de autenticação). Todo serviço que usa o PAM possui um arquivo de configuração em /etc/pam.d/ , que descreve quais módulos PAM usar quando fizer o login de um usuário.

Meu arquivo /etc/pam.d/cron é assim: 

# The PAM configuration file for the cron daemon

@include common-auth

# Read environment variables from pam_env's default files, /etc/environment
# and /etc/security/pam_env.conf.
session       required   pam_env.so

# In addition, read system locale information
session       required   pam_env.so envfile=/etc/default/locale

@include common-account
@include common-session-noninteractive 

# Sets up user limits, please define limits for cron tasks
# through /etc/security/limits.conf
session    required   pam_limits.so

Isso garante que os limites configurados para usuários sejam aplicados às tarefas dos usuários quando eles forem executados por meio de cron . Se você quiser alterar esses limites por serviço, poderá configurar pam_limits.so neste arquivo com seu próprio conf=/etc/security/cron-limits.conf e aplicar limites diferentes dos logins ssh ( /etc/pam.d/sshd ) ou logins do console ( /etc/pam.d/login ).

    
por sarnold 14.05.2014 / 08:49

Tags

Uma partição comum / home para várias distribuições do Linux Posso limpar automaticamente todos os pacotes que eu já desinstalei?