Entradas aleatórias do SSH em Auth.log ordem de data desatualizada [duplicado]

5

Executando um servidor LTS do Ubuntu Trusty 14.04.1 na Rackspace, mas recentemente após executar as atualizações do bash, então com as reinicializações para a vulnerabilidade do host xen, tenho o seguinte problema estranho.

Algumas entradas aleatórias auth.log estão aparecendo sincronizadas desatualizadas, por exemplo:

Oct 14 12:12:10 myserver sshd[2097]: pam_unix(sshd:session): session closed for user
Oct 13 12:58:30 myserver sshd[2522]: Failed password for foo from 21.21.21.21 port 1490 ssh2
Oct 14 12:21:28 myserver sshd[3389]: Accepted password for bar from 22.22.22.22 port 61173 ssh2

Eu tenho um cron.log separado em execução também (alterei as configurações para o rsyslog), mas também tenho entradas de sincronização desatualizadas aleatórias, por exemplo:

Oct 14 07:11:01 myserver CRON[32099]: (root) CMD
Oct 13 03:16:01 myserver CRON[32226]: (root) CMD
Oct 14 07:12:01 myserver CRON[32226]: (root) CMD

EDITAR PARA ADICIONAR:

Eu notei que parece que algumas entradas de log estão atrasadas sendo adicionadas ao * .log por rsyslog. Algumas entradas mostram o seguinte padrão:

Oct 12 09:19:07 myserver sshd[4792]: pam_unix(sshd:auth): authentication failure;
Oct 12 09:19:09 myserver sshd[4792]: Failed password for x
Oct 14 12:21:32 myserver su[3484]: pam_unix(su:session): session open
Oct 12 09:19:12 myserver sshd[4792]: Failed password for x from 20.20.20.20 port 2158 ssh2

O exemplo acima mostra que as duas primeiras entradas chegaram pontualmente, mas a última (12 segundos) foi atrasada por dois dias!

Eu verifiquei a data em que o servidor está correto, reiniciei os processos SSH, reiniciei o rsyslog.

Tudo o mais no servidor está funcionando bem - Apache, sincronização, verniz, etc etc

Alguma idéia do que estou sentindo falta aqui?

    
por Ray A 14.10.2014 / 14:33

1 resposta

6

Este é um bug, e na verdade é um bug no rsyslog, especificamente no RepeatedMsgReduction On, e uma mudança no comportamento com a versão lançada com o Trusty (comparado com versões anteriores)

Veja o link para os detalhes sangrentos.

Em resumo, desative o RepeatedMsgReduction no Trusty. Não é útil e faz coisas idiotas.

    
por 28.12.2014 / 10:28