[ubuntu-tr] Ubuntu server log dosyaları ve güvenlik...
Murat Tepegoz
murattepegoz at gmail.com
25 Haz 2007 Pzt 07:03:38 BST
Merhaba Timucin,
Crontab bazi taskler icin nobody userini kullaniyor sanirim. Ancak tum
taskler icin degil. Tam olarak nerelerde kullandigini bir ara
okumustum, ancak o dokumanlari bulamadim. Istersen bu konuyu arastir.
Yani muhtemelen auth.log dosyalarindaki nobody crontab'in yaptigi
islerdir. Zaten zaman olarak da cok periodik olmasi crontab'i
cagristiriyor. /etc/crontab'dan bu zamanda yani "6:25"te tanimlanmis
bir is var mi diye de bakabilirsin.
Iyi calismalar
Murat
On 6/23/07, Timuçin Kızılay <tim at savaskarsitlari.org> wrote:
>
> Merhabalar,
>
> Yaklaşık 6 ay boyunca kendi makinamda linux kullanıyordum. Windows 2000
> ile çalışan bir sunucum diskleri değişme zamanı geldiğinde hazır
> kurmuşken Linux kurdum. Sunucu DNS server ve vmware-server servisleri
> veriyor, başka bir iş yapmıyor. Ubuntu 6.06 server sürümünü kurdum. Bunu
> seçerken kendi makinamda kubuntu ve debian alışkanlıklarıma yakın diye
> ve vmware yazılımının web sitesinde desteklenen linux sürümleri arasında
> olduğu için seçtim. Sunucu bir ISP'de internete direkt bağlı. Ben
> uzaktan ssh ile erişip bağlanıyorum. Yaklaşık 5 gündür sorunsuz
> çalışıyor ama aklıma takılan konular var. Şimdi bu makinaya bağlanmak
> için ssh kullanıyorum ve default portunu değiştirdim. /var/log/auth.log
> dosyasına ara sıra bakıyorum şöyle tuhaf birşey gördüm :
> ---------------
> Jun 21 06:25:02 dns1 su[7875]: + ??? root:nobody
> Jun 21 06:25:02 dns1 su[7875]: (pam_unix) session opened for user nobody
> by (uid=0)
> Jun 21 06:25:02 dns1 su[7875]: (pam_unix) session closed for user nobody
> Jun 21 06:25:02 dns1 su[7879]: + ??? root:nobody
> Jun 21 06:25:02 dns1 su[7879]: (pam_unix) session opened for user nobody
> by (uid=0)
> Jun 21 06:25:02 dns1 su[7879]: (pam_unix) session closed for user nobody
> Jun 21 06:25:02 dns1 su[7881]: + ??? root:nobody
> Jun 21 06:25:02 dns1 su[7881]: (pam_unix) session opened for user nobody
> by (uid=0)
> Jun 21 06:25:56 dns1 su[7881]: (pam_unix) session closed for user nobody
> Jun 22 06:25:02 dns1 su[4702]: + ??? root:nobody
> Jun 22 06:25:02 dns1 su[4702]: (pam_unix) session opened for user nobody
> by (uid=0)
> Jun 22 06:25:02 dns1 su[4702]: (pam_unix) session closed for user nobody
> Jun 22 06:25:02 dns1 su[4704]: + ??? root:nobody
> Jun 22 06:25:02 dns1 su[4704]: (pam_unix) session opened for user nobody
> by (uid=0)
> Jun 22 06:25:02 dns1 su[4704]: (pam_unix) session closed for user nobody
> Jun 22 06:25:02 dns1 su[4706]: + ??? root:nobody
> Jun 22 06:25:02 dns1 su[4706]: (pam_unix) session opened for user nobody
> by (uid=0)
> Jun 22 06:25:56 dns1 su[4706]: (pam_unix) session closed for user nobody
> ---------------
>
> Buradan anladığım nobody diye bir user su ile root olmuş ama uzaktan
> biri mi bağlanmış birşeyler yapmış yoksa sistemin normal çalışmasından
> gelen bir log mu bilemiyorum. Bir yorum getirebilecek var mı?
>
>
>
> Bir de bu auth.log dosyasından başka kontrol etmem gereken log dosyası
> var mıdır? Bir de bu log dosyaları zamanla büyüyor. syslog dosyasını
> logrotate servisi arşivliyor ama diğer log dosyaları kendi halinde
> duruyor. log dosyasını arşivlemek için dosyanın adını değiştirip
> aynısından bir tane daha yaratıyorum ama bu günlük olarak elle yapmakla
> başa çıkmaz, mutlaka bir yolu vardır. logrotate ile ilgili dokumanları
> okuyorum ama henüz ilerleme olmadı.
>
>
> --
> ubuntu-tr mailing list
> ubuntu-tr at lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-tr
>
More information about the ubuntu-tr
mailing list