Pourquoi est-ce qu'une session CRON s'ouvre et se ferme toutes les heures dans /var/log/auth.log?

35

Je suis tout à fait frais avec Linux dans son ensemble, donc cela peut être une question stupide - mais Je voudrais encore connaître la réponse

Ce matin, quand je regarde mon /var/log/auth.log (dont on m'a dit de prendre une habitude) Je remarque qu'une fois par heure, il a enregistré un événement qui ressemble à ceci:

     May 13 20:17:01 Ubuntu-Server-1401-VM CRON[2280]: pam_unix(cron:session): session opened for user root by (uid=0)
     May 13 20:17:01 Ubuntu-Server-1401-VM CRON[2280]: session closed for user root

Il s'est ensuite produit toutes les heures à x: 17: 01 jusqu'à ce que j'ouvre le journal. Une connexion SSH à ce serveur a été maintenue en vie pendant cette période (où le journal a été effectué). Ma meilleure supposition est que, toutes les heures, mon client SSH a cherché à savoir s'il pouvait ou non obtenir un accès root pour vérifier la connexion à la connexion SSH au serveur - mais je voudrais être prudent. Est-ce que quelqu'un sait ce que c'est?

    
posée Terje Gundersen 14.05.2014 - 03:43
la source

2 réponses

44

En supposant que vous n’avez rien changé depuis la configuration par défaut de cron , il s’agit de votre /etc/crontab en cours d’exécution. Sur mon serveur Ubuntu 10.04.3 LTS, son contenu comprend:

# m h dom mon dow user  command
17 *    * * *   root    cd / && run-parts --report /etc/cron.hourly

Ainsi, cron se réveille toutes les heures et exécute tous les scripts situés dans /etc/cron.hourly . Vous n'en avez probablement pas, c'est pourquoi il ne fait rien. Il exécute simplement une session root qui exécute run-parts puis se ferme la session à nouveau.

    
réponse donnée terdon 14.05.2014 - 03:49
la source
11

Ces entrées de journal ont été écrites par les bibliothèques PAM lorsque le démon crond exécutait des tâches en arrière-plan. crond exécute les tâches selon un planning, au nom du système et des utilisateurs du système.

Chaque utilisateur a son propre fichier de configuration crontab , qui peut être modifié avec la commande crontab -e ou affiché avec crontab -l . L'administrateur système peut également configurer des travaux via une multitude de fichiers et de répertoires /etc/ ; /etc/cron.d/ permet aux services de supprimer leurs propres configurations, et /etc/crontab pilote les répertoires hourly , daily et weekly , ainsi que les exécutions que l'administrateur peut choisir d'exécuter.

crond transformera les utilisateurs en utilisateurs corrects (spécifiés dans le fichier /etc/crontab et le répertoire /etc/cron.d/ , ou dans les fichiers crontab fournis par l'utilisateur) avant d'exécuter les travaux; Il utilise le système PAM pour modifier les utilisateurs.

PAM fournit un endroit unique pour configurer différentes méthodes d’authentification et d’autorisation des utilisateurs et pour fournir une configuration de session, ainsi qu’un moyen de modifier les mots de passe (ou autres jetons d’authentification). Chaque service utilisant PAM dispose d'un fichier de configuration dans /etc/pam.d/ qui décrit les modules PAM à utiliser lors de la connexion d'un utilisateur.

Mon fichier /etc/pam.d/cron ressemble à ceci:

# The PAM configuration file for the cron daemon

@include common-auth

# Read environment variables from pam_env's default files, /etc/environment
# and /etc/security/pam_env.conf.
session       required   pam_env.so

# In addition, read system locale information
session       required   pam_env.so envfile=/etc/default/locale

@include common-account
@include common-session-noninteractive 

# Sets up user limits, please define limits for cron tasks
# through /etc/security/limits.conf
session    required   pam_limits.so

Cela garantit que les limites configurées pour les utilisateurs sont appliquées aux tâches des utilisateurs lorsqu'ils les exécutent via cron . Si vous souhaitez modifier ces limites par service, vous pouvez configurer pam_limits.so dans ce fichier avec vos propres conf=/etc/security/cron-limits.conf et appliquer des limites différentes de celles des connexions ssh ( /etc/pam.d/sshd ) ou de la console ( /etc/pam.d/login ).

    
réponse donnée sarnold 14.05.2014 - 08:49
la source

Lire d'autres questions sur les étiquettes