Por que vejo uma sessão CRON abrindo e fechando a cada hora em /var/log/auth.log?

46

Eu sou bastante novo com o Linux como um todo, então essa pode ser uma pergunta boba - mas eu ainda gostaria de saber a resposta

Hoje de manhã, quando olho para o meu /var/log/auth.log (que me foi dito para criar um hábito), percebo que, uma vez por hora, ele registra um evento parecido com este:

     May 13 20:17:01 Ubuntu-Server-1401-VM CRON[2280]: pam_unix(cron:session): session opened for user root by (uid=0)
     May 13 20:17:01 Ubuntu-Server-1401-VM CRON[2280]: session closed for user root

Em seguida, passou a acontecer a cada hora em x: 17: 01 até abrir o log. Uma conexão SSH com este servidor foi mantida ativa durante esse tempo (onde ocorreu o registro). Meu melhor palpite é que, a cada hora, meu cliente SSH procurou se poderia ou não obter acesso root como uma maneira de verificar a conexão à conexão SSH com o servidor - mas eu gostaria de estar do lado seguro. Alguém sabe o que é isso?

Terje Gundersen
fonte

Respostas:

51

Supondo que você não alterou nada da cronconfiguração padrão , esta é a sua /etc/crontabexecução. No meu servidor Ubuntu 10.04.3 LTS, seu conteúdo inclui:

# m h dom mon dow user  command
17 *    * * *   root    cd / && run-parts --report /etc/cron.hourly

Então, cronacorda a cada hora e executa todos os scripts localizados em /etc/cron.hourly. Você provavelmente não tem nenhum, por isso não faz nada. Ele simplesmente executa uma rootsessão que é executada run-partse depois fecha a sessão novamente.

terdon
fonte
1
entendeu desativado, deve apenas um desperdício ....
Tebe
16

Essas entradas de log foram gravadas pelas bibliotecas do PAM quando o cronddaemon executou tarefas em segundo plano. crondexecuta tarefas em uma programação, em nome do sistema e dos usuários no sistema.

Cada usuário tem seu próprio crontabarquivo de configuração, que pode ser editado com o crontab -ecomando ou mostrado usando crontab -l. O administrador do sistema também pode configurar trabalhos através de uma infinidade de /etc/arquivos e diretórios; /etc/cron.d/fornece um lugar fácil para serviços para largar suas próprias configurações, e /etc/crontabimpulsiona o hourly, dailye weeklydiretórios, bem como corre qualquer que seja o administrador pode optar por executar.

crondalterará os usuários para o usuário correto (especificado no /etc/crontabarquivo e no /etc/cron.d/diretório ou nos crontabarquivos fornecidos pelo usuário ) antes de executar os trabalhos; Ele usa o sistema PAM para alterar os usuários.

O PAM fornece um único local para configurar maneiras diferentes de autenticar e autorizar usuários e fornecer configuração de sessão, além de fornecer uma maneira de alterar senhas (ou outros tokens de autenticação). Todo serviço que usa o PAM possui um arquivo de configuração /etc/pam.d/que descreve quais módulos do PAM devem ser usados ​​ao 'efetuar login' em um usuário.

Meu /etc/pam.d/cronarquivo fica assim:

# The PAM configuration file for the cron daemon

@include common-auth

# Read environment variables from pam_env's default files, /etc/environment
# and /etc/security/pam_env.conf.
session       required   pam_env.so

# In addition, read system locale information
session       required   pam_env.so envfile=/etc/default/locale

@include common-account
@include common-session-noninteractive 

# Sets up user limits, please define limits for cron tasks
# through /etc/security/limits.conf
session    required   pam_limits.so

Isso garante que os limites configurados para os usuários sejam aplicados às tarefas dos usuários quando eles forem executados cron. Se você quiser alterar esses limites por serviço, poderá configurar pam_limits.soneste arquivo por conta própria conf=/etc/security/cron-limits.confe aplicar limites diferentes dos logins ssh ( /etc/pam.d/sshd) ou logons de console ( /etc/pam.d/login).

sarnold
fonte