[ubuntu-tr] Ubuntu server log dosyaları ve güvenlik...

[Timuçin Kızılay]

Merhabalar,

Yaklaşık 6 ay boyunca kendi makinamda linux kullanıyordum. Windows 2000
ile çalışan bir sunucum diskleri değişme zamanı geldiğinde hazır
kurmuşken Linux kurdum. Sunucu DNS server ve vmware-server servisleri
veriyor, başka bir iş yapmıyor. Ubuntu 6.06 server sürümünü kurdum. Bunu
seçerken kendi makinamda kubuntu ve debian alışkanlıklarıma yakın diye
ve vmware yazılımının web sitesinde desteklenen linux sürümleri arasında
olduğu için seçtim. Sunucu bir ISP'de internete direkt bağlı. Ben
uzaktan ssh ile erişip bağlanıyorum. Yaklaşık 5 gündür sorunsuz
çalışıyor ama aklıma takılan konular var. Şimdi bu makinaya bağlanmak
için ssh kullanıyorum ve default portunu değiştirdim. /var/log/auth.log
dosyasına ara sıra bakıyorum şöyle tuhaf birşey gördüm :
---------------
Jun 21 06:25:02 dns1 su[7875]: + ??? root:nobody
Jun 21 06:25:02 dns1 su[7875]: (pam_unix) session opened for user nobody
by (uid=0)
Jun 21 06:25:02 dns1 su[7875]: (pam_unix) session closed for user nobody
Jun 21 06:25:02 dns1 su[7879]: + ??? root:nobody
Jun 21 06:25:02 dns1 su[7879]: (pam_unix) session opened for user nobody
by (uid=0)
Jun 21 06:25:02 dns1 su[7879]: (pam_unix) session closed for user nobody
Jun 21 06:25:02 dns1 su[7881]: + ??? root:nobody
Jun 21 06:25:02 dns1 su[7881]: (pam_unix) session opened for user nobody
by (uid=0)
Jun 21 06:25:56 dns1 su[7881]: (pam_unix) session closed for user nobody
Jun 22 06:25:02 dns1 su[4702]: + ??? root:nobody
Jun 22 06:25:02 dns1 su[4702]: (pam_unix) session opened for user nobody
by (uid=0)
Jun 22 06:25:02 dns1 su[4702]: (pam_unix) session closed for user nobody
Jun 22 06:25:02 dns1 su[4704]: + ??? root:nobody
Jun 22 06:25:02 dns1 su[4704]: (pam_unix) session opened for user nobody
by (uid=0)
Jun 22 06:25:02 dns1 su[4704]: (pam_unix) session closed for user nobody
Jun 22 06:25:02 dns1 su[4706]: + ??? root:nobody
Jun 22 06:25:02 dns1 su[4706]: (pam_unix) session opened for user nobody
by (uid=0)
Jun 22 06:25:56 dns1 su[4706]: (pam_unix) session closed for user nobody
---------------

Buradan anladığım nobody diye bir user su ile root olmuş ama uzaktan
biri mi bağlanmış birşeyler yapmış yoksa sistemin normal çalışmasından
gelen bir log mu bilemiyorum. Bir yorum getirebilecek var mı?



Bir de bu auth.log dosyasından başka kontrol etmem gereken log dosyası
var mıdır? Bir de bu log dosyaları zamanla büyüyor. syslog dosyasını
logrotate servisi arşivliyor ama diğer log dosyaları kendi halinde
duruyor. log dosyasını arşivlemek için dosyanın adını değiştirip
aynısından bir tane daha yaratıyorum ama bu günlük olarak elle yapmakla
başa çıkmaz, mutlaka bir yolu vardır. logrotate ile ilgili dokumanları
okuyorum ama henüz ilerleme olmadı.