wird nur eine Verbindung aufgebaut, oder sich tatsächlich eingeloggt?
Scheinbar wird nur eine Verbindung aufgebaut, über die Variable "$USER", lasse ich mir den eingeloggten User in der Mail ausgeben, leider wird mir in diesem Fall keiner angegeben. Die Absenderadresse ist immer "root@...". In der sshd_config ist der root-Login jedoch deaktiviert und mit AllowUser, auch nur ein Benutzer für den Login (nicht root) zugelassen.
Die /var/log/auth.log gibt folgendes aus:
Jun 5 09:48:01 XXX CRON[XXX]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 5 09:48:01 XXX CRON[XXX]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 5 09:48:01 XXX CRON[XXX]: pam_unix(cron:session): session closed for user root
Jun 5 09:48:01 XXX CRON[XXX]: pam_unix(cron:session): session closed for user root
Jun 5 09:49:01 XXX CRON[XXX]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 5 09:49:01 XXX CRON[XXX]: pam_unix(cron:session): session opened for user root by (uid=0)
Es scheint an den Cronjobs zu liegen, aber warum machen sie ständig eine Session auf und wieder zu und warum als User root? Könnte hierfür ein extra User angelegt werden?
Und was steht in der rkhunter.log?
Die Logs sagen folgendes im Bezug auf Warnung:
[xx:xx:xx] Checking /dev for suspicious file types [ Warning ]
[xx:xx:xx] Warning: Suspicious file types found in /dev:
[xx:xx:xx] /dev/shm/PostgreSQL.NUMMER: data
Ist das bedenklich? Wie lange werden die Logs gespeichert?