[+] Dziwne wpisy auth.log

[sebekoo]

Witam.
Na ustawionym serwerze sprawdziłem logi w pliku /var/log/auth.log

Kod: Zaznacz cały

Linux debian 2.6.32-5-486 #1 Sun May 6 03:29:22 UTC 2012 i586 GNU/Linux

Kod: Zaznacz cały

Feb  4 06:25:02 debian su[26969]: Successful su for Debian-exim by root
Feb  4 06:25:02 debian su[26969]: + ??? root :D ebian-exim
Feb  4 06:25:02 debian su[26969]: pam_unix(su:session): session opened for user Debian-exim by (uid=0)
Feb  4 06:25:02 debian CRON[26922]: pam_unix(cron:session): session closed for user root
Feb  4 06:25:02 debian su[26969]: pam_unix(su:session): session closed for user Debian-exim

Co mogą oznaczać takie wpisy.
Z tego co zauważyłem pojawiają się regularnie co dziennie o jednakowej porze.

[sethiel]

Zobacz wpisy w /etc/crontab, /etc/cron.* tam powinna być odpowiedź na Twoje obawy.

[sebekoo]

Kod: Zaznacz cały

# /etc/crontab: system-wide crontab
# Unlike any other crontab you don't have to run the `crontab'
# command to install the new version when you edit this file
# and files in /etc/cron.d. These files also have username fields,
# that none of the other crontabs do.

SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

# m h dom mon dow user    command
17 *    * * *    root    cd / && run-parts --report /etc/cron.hourly
25 6    * * *    root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6    * * 7    root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6    1 * *    root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
#

Kod: Zaznacz cały

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

,,Path'' to lokalizacja programów, które są uruchamiane co określony czas?

Kod: Zaznacz cały

/usr/sbin/anacron

nie mam takiego pliku w tej lokalizacji .

[sethiel]

Wskazówka ||

rozwinięcie wskazówki:
|| to logiczny ....

(no chyba, że chcesz kawę na ławę)

[sebekoo]

/etc/cron.daily codzienny raport
/etc/cron.weekly cotygodniowy raport
/etc/cron.monthly comiesięczy raport

to o taki "test logiczny" chodzi.

A coś więcej, jakie programy/procesy są w tym czasie uruchamiane? Czy można to gdzieś sprawdzić?

[sethiel]

Czyli kawa na ławę:

Kod: Zaznacz cały

25 6    * * *    root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )

o godzinie 6 minut 25 w każdym dniu miesiąca w każdym miesiącu w każdym dniu tygodnia (czyli co dziennie) uruchom z konta root

Kod: Zaznacz cały

test -x /usr/sbin/anacron, a jeśli się nie uda to ( cd / && run-parts --report /etc/cron.daily )

Kod: Zaznacz cały

47 6    * * 7

niemalże jak wyżej tylko dotyczy niedziel.

Teraz zgodnie z poleceniem skrypt zagląda do katalogu

Kod: Zaznacz cały

/etc/cron.daily

i po kolei uruchamia wszystkie pliki z tego katalogu.
Zgodnie z tematem postu masz tam zapewne exim który aby przeprowadzić swoją akcję używa su.

[sebekoo]

Człowiek ciągle się uczy. nawet nie pomyślałbym o takiej interpretacji.
Jest w tej lokalizacji plik exim4-base - ale tego pliku lepiej nie będę ruszał.

A jest gdzieś opis tych "cyferek" co która oznacza?

[sethiel]

Okulary większe potrzebne?

Masz jak byk napisane:

Kod: Zaznacz cały

# m h dom mon dow user    command

m -minuty - od 0 do 59
h - godziny
dom - day of month - dzien miesiąca
mon - month - od 1-12
dow - day of week - dzien tygodnia
user - z jakiego konta
command - jakie polecenie

Litości - ale piątek weekend co mi tam, ech pierwszy link z google:
http://pl.wikipedia.org/wiki/Crontab

[sebekoo]

Dziękuję.
Jak wyłoży się kawę na ławę to wszystko staje się takie proste.
A przyznam, że miałem wpisać w Google ale uznałem skoro napisałem już tutaj to chyba lepiej ktoś mi to wytłumaczy.

A link w wiki to już rozwiewa wszystkie wątpliwości.

Jeszcze raz dziękuję.