Ständiger SSH-Login

theo2017

New Member
Ich lasse mich per Mail über jeden Login per SSH informieren. Leider ist es nun so, dass ein Dienst jede Minute einen SSH Login durchführt und ich entsprechend jedes mal eine Mail bekomme. Welcher Dienst könnte das sein?

Des Weiteren bekomme ich von rkhunter eine Warnmeldung.
 

theo2017

New Member
wird nur eine Verbindung aufgebaut, oder sich tatsächlich eingeloggt?
Scheinbar wird nur eine Verbindung aufgebaut, über die Variable "$USER", lasse ich mir den eingeloggten User in der Mail ausgeben, leider wird mir in diesem Fall keiner angegeben. Die Absenderadresse ist immer "root@...". In der sshd_config ist der root-Login jedoch deaktiviert und mit AllowUser, auch nur ein Benutzer für den Login (nicht root) zugelassen.
Die /var/log/auth.log gibt folgendes aus:
Jun 5 09:48:01 XXX CRON[XXX]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 5 09:48:01 XXX CRON[XXX]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 5 09:48:01 XXX CRON[XXX]: pam_unix(cron:session): session closed for user root
Jun 5 09:48:01 XXX CRON[XXX]: pam_unix(cron:session): session closed for user root
Jun 5 09:49:01 XXX CRON[XXX]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 5 09:49:01 XXX CRON[XXX]: pam_unix(cron:session): session opened for user root by (uid=0)
Es scheint an den Cronjobs zu liegen, aber warum machen sie ständig eine Session auf und wieder zu und warum als User root? Könnte hierfür ein extra User angelegt werden?
Die Logs sagen folgendes im Bezug auf Warnung:
[xx:xx:xx] Checking /dev for suspicious file types [ Warning ]
[xx:xx:xx] Warning: Suspicious file types found in /dev:
[xx:xx:xx] /dev/shm/PostgreSQL.NUMMER: data
Ist das bedenklich? Wie lange werden die Logs gespeichert?
 

nowayback

Well-Known Member
Die /var/log/auth.log gibt folgendes aus:
Jun 5 09:48:01 XXX CRON[XXX]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 5 09:48:01 XXX CRON[XXX]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 5 09:48:01 XXX CRON[XXX]: pam_unix(cron:session): session closed for user root
Jun 5 09:48:01 XXX CRON[XXX]: pam_unix(cron:session): session closed for user root
Jun 5 09:49:01 XXX CRON[XXX]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 5 09:49:01 XXX CRON[XXX]: pam_unix(cron:session): session opened for user root by (uid=0)
Das ist einfach der Job, der guckt ob ssh verfügbar ist. Kannst du, glaube ich, im monitoring abschalten, würde ich aber nicht tun. An deiner Stelle würde ich eher das komische Script, welches dir die mail schickt anpassen.

Die Logs sagen folgendes im Bezug auf Warnung:
[xx:xx:xx] Checking /dev for suspicious file types [ Warning ]
[xx:xx:xx] Warning: Suspicious file types found in /dev:
[xx:xx:xx] /dev/shm/PostgreSQL.NUMMER: data
Daten die unter /dev/shm liegen, liegen dort weil ein Programm die Daten mit einem anderen via "shared memory" teilen will. Das ist ok. Würde ich auch einfach whitelisten.
 

Werbung

Top