Acabei de dar uma olhada no arquivo auth.log do meu servidor pela primeira vez em alguns dias e percebi que não há entradas antes das 6:47 desta manhã.
Isso é muito estranho porque eu deixei esse arquivo de log para o meu laptop quando eu olhei para ele alguns dias antes, e foi bem mais de 2400 linhas de trabalhos cron, tentativas de invasão, etc.
Quando eu corri cat /var/log/auth.log agora - eu estava esperando milhares de linhas e consegui cerca de 50 linhas de cron jobs, uma tentativa de invasão e meu último ssh.
Por que isso aconteceu? O Ubuntu esvazia periodicamente esse arquivo? Eu fui hackeado?
Existe um cronjob em /etc/cron.daily (no CentOS, pode ser diferente no Ubuntu) rodar uma ferramenta chamada logrotate, que lê a configuração do /etc/logrotate.d e trata do envelhecimento dos logs do sistema, etc.
Normalmente, uma semana de registros são mantidos, girados uma vez por dia. Nas implementações modernas, você verá outros arquivos chamados /var/log/auth.log.[date] . Tente fazer:
ls -l /var/log/auth.log*
Há a rotação de log, que ocorre normalmente de manhã (acredito que o padrão seja às 06:25 ou logo após). Parece que você puxou o arquivo logo após a execução do logrotate.
Dependendo da configuração do logrotate, o arquivo do dia anterior será nomeado /var/log/auth.log.1. Olhe para lá.
A configuração do logrotate está em /etc/logrotate.d. O cron job para logrotate está em /etc/cron.daily, com scripts nesse diretório sendo executado a partir de / etc / crontab.