analyse de auth.log

Processus étrange avec CRON

Le problème exposé dans ce sujet a été résolu.

abrl, mardi 01 septembre 2015 à 20h11

Bonjour,

Il y a quelques jours j'ai acheté un VPS chez OVH et j'ai installé Debian 7 dessus. J'étais en train de configurer le VPS pour sécuriser un peu SSH et en regardant le fichier /var/log/auth.log j'ai trouvé quelque chose d'étrange. Il s'agit d'un processus qui s'exécute toutes les heures à la premières seconde de la 18émé minute avec des droits root apparemment. Je vous mets un petit extrait:

Aug 30 23:17:01 vpsXXX CRON[2491]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 30 23:17:01 vpsXXX CRON[2491]: pam_unix(cron:session): session closed for user root
Aug 31 00:17:01 vpsXXX CRON[2497]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 31 00:17:01 vpsXXX CRON[2497]: pam_unix(cron:session): session closed for user root
Aug 31 01:17:01 vpsXXX CRON[2510]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 31 01:17:01 vpsXXX CRON[2510]: pam_unix(cron:session): session closed for user root
Aug 31 02:17:01 vpsXXX CRON[2542]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 31 02:17:01 vpsXXX CRON[2542]: pam_unix(cron:session): session closed for user root
Aug 31 03:17:01 vpsXXX CRON[2548]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 31 03:17:01 vpsXXX CRON[2548]: pam_unix(cron:session): session closed for user root
Aug 31 04:17:01 vpsXXX CRON[2557]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 31 04:17:01 vpsXXX CRON[2557]: pam_unix(cron:session): session closed for user root
Aug 31 05:17:01 vpsXXX CRON[2571]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 31 05:17:01 vpsXXX CRON[2571]: pam_unix(cron:session): session closed for user root

Cela à commencé environ 7 min après l'activation du VPS par OVH. Je dois avouer que je suis plutôt inquiet face à ça. Est ce normal ? de quoi s'agit-il ? comment puis-je l'enlever ? faut-il réinstaller le VPS ?

Merci de votre aide.

01/09/15 à 20h11

+0 -0

WinXaito, mardi 01 septembre 2015 à 21h10

Regarde dans tes cron si tu as quelque chose .. ? sudo crontab -e de tête

01/09/15 à 21h10

+0 -0

abrl, mercredi 02 septembre 2015 à 08h54

J'ai trouvé d'autres trucs bizarres du coup j'ai réinstallé le VPS. Je vais voir si ça revient. Merci de ton aide tout de même.

02/09/15 à 08h54

+0 -0

JWHS, mercredi 02 septembre 2015 à 19h19
Modifié

crontab -l suffirait à voir les tâches Cron d'un utilisateur, inutile de lancer l'éditeur. De plus, cet outil n'affichera que les tâches planifiées dans les crontabs individuels, c'est-à-dire ceux qui sont stockés indépendement sous /var/spool/cron/crontabs. Il y a d'ailleurs de grandes chances que le crontab de root affiché lorsque l'on utilise sudo soit totalement vide.

Cependant, les crons individuels ne sont pas les seuls à être pris en charge par le daemon Cron (PID 2571 ici). Il existe également des Crons systèmes, pris en charge par root et configurés par le sysadmin (plus ou moins directement), indépendement des utilisateurs.

Si tu es sous Debian, ces crons sont enregistrés dans /etc/crontab, et tu y trouveras, par défaut, la planification suivante :

1	17 * * * * root cd / && run-parts --report /etc/cron.hourly

Cela indique au daemon Cron de traiter, toutes les heures (à hh:17), les crons horaires enregistrés dans /etc/cron.hourly/. Par défaut, ce répertoire est vide, ce qui explique pourquoi le temps entre l'ouverture et la fermeture de session dans le log sont très proches :

/etc/crontab indique que la commande horaire doit être exécutée en tant que root.
La commande suivante est exécutée toutes les heures : cd / && run-parts --report /etc/cron.hourly
run-parts parcourt le répertoire /etc/cron.hourly à la recherche de choses à faire, mais ne trouve rien. Il se termine donc immédiatement.
Le daemon cron a terminé sa tache horaire, il ferme la session root ouverte pour son traitement et s'occupe du reste de son travail.

Il est d'ailleurs possible que ton /etc/crontab contienne d'autres tâches régulières planifiées par le système, ou par défaut lors de l'installation (eg. anacron). Quoi qu'il en soit, tu pourras facilement trouver des informations sur les programmes exécutés via une petite recherche Google. Tu peux commencer par jeter un oeil ici, et ici. Au passage, cette question a déjà été traitée sur AskUbuntu, où tu pourras peut-être trouver davantage de détails.

02/09/15 à 19h19
Modifié

JWHS.

+1 -0

abrl, mercredi 02 septembre 2015 à 22h38
Modifié

Merci JWHSmith !! Cela m'a bien aidé et merci pour la lecture ! :-)

Je dois avouer que j'ai regardé ce fichier pour vérifier des logs SSH. J'ai donc machinalement pensé qu'il s'agissait d'un processus SSH ou en tout cas de communication réseau. Du coup mes recherches n'ont pas fait mouche.

Bon allez, j'ai un VPS à reconfigurer moi maintenant

02/09/15 à 22h38
Modifié

+0 -0

Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte