analyse de auth.log

Processus étrange avec CRON

L'auteur de ce sujet a trouvé une solution à son problème.
Auteur du sujet

Bonjour,

Il y a quelques jours j'ai acheté un VPS chez OVH et j'ai installé Debian 7 dessus. J'étais en train de configurer le VPS pour sécuriser un peu SSH et en regardant le fichier /var/log/auth.log j'ai trouvé quelque chose d'étrange. Il s'agit d'un processus qui s'exécute toutes les heures à la premières seconde de la 18émé minute avec des droits root apparemment. Je vous mets un petit extrait:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
Aug 30 23:17:01 vpsXXX CRON[2491]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 30 23:17:01 vpsXXX CRON[2491]: pam_unix(cron:session): session closed for user root
Aug 31 00:17:01 vpsXXX CRON[2497]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 31 00:17:01 vpsXXX CRON[2497]: pam_unix(cron:session): session closed for user root
Aug 31 01:17:01 vpsXXX CRON[2510]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 31 01:17:01 vpsXXX CRON[2510]: pam_unix(cron:session): session closed for user root
Aug 31 02:17:01 vpsXXX CRON[2542]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 31 02:17:01 vpsXXX CRON[2542]: pam_unix(cron:session): session closed for user root
Aug 31 03:17:01 vpsXXX CRON[2548]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 31 03:17:01 vpsXXX CRON[2548]: pam_unix(cron:session): session closed for user root
Aug 31 04:17:01 vpsXXX CRON[2557]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 31 04:17:01 vpsXXX CRON[2557]: pam_unix(cron:session): session closed for user root
Aug 31 05:17:01 vpsXXX CRON[2571]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 31 05:17:01 vpsXXX CRON[2571]: pam_unix(cron:session): session closed for user root

Cela à commencé environ 7 min après l'activation du VPS par OVH. Je dois avouer que je suis plutôt inquiet face à ça. Est ce normal ? de quoi s'agit-il ? comment puis-je l'enlever ? faut-il réinstaller le VPS ?

Merci de votre aide.

+0 -0

Cette réponse a aidé l'auteur du sujet

crontab -l suffirait à voir les tâches Cron d'un utilisateur, inutile de lancer l'éditeur. De plus, cet outil n'affichera que les tâches planifiées dans les crontabs individuels, c'est-à-dire ceux qui sont stockés indépendement sous /var/spool/cron/crontabs. Il y a d'ailleurs de grandes chances que le crontab de root affiché lorsque l'on utilise sudo soit totalement vide.

Cependant, les crons individuels ne sont pas les seuls à être pris en charge par le daemon Cron (PID 2571 ici). Il existe également des Crons systèmes, pris en charge par root et configurés par le sysadmin (plus ou moins directement), indépendement des utilisateurs.

Si tu es sous Debian, ces crons sont enregistrés dans /etc/crontab, et tu y trouveras, par défaut, la planification suivante :

1
17 *    * * *   root    cd / && run-parts --report /etc/cron.hourly

Cela indique au daemon Cron de traiter, toutes les heures (à hh:17), les crons horaires enregistrés dans /etc/cron.hourly/. Par défaut, ce répertoire est vide, ce qui explique pourquoi le temps entre l'ouverture et la fermeture de session dans le log sont très proches :

  • /etc/crontab indique que la commande horaire doit être exécutée en tant que root.
  • La commande suivante est exécutée toutes les heures : cd / && run-parts --report /etc/cron.hourly
  • run-parts parcourt le répertoire /etc/cron.hourly à la recherche de choses à faire, mais ne trouve rien. Il se termine donc immédiatement.
  • Le daemon cron a terminé sa tache horaire, il ferme la session root ouverte pour son traitement et s'occupe du reste de son travail.

Il est d'ailleurs possible que ton /etc/crontab contienne d'autres tâches régulières planifiées par le système, ou par défaut lors de l'installation (eg. anacron). Quoi qu'il en soit, tu pourras facilement trouver des informations sur les programmes exécutés via une petite recherche Google. Tu peux commencer par jeter un oeil ici, et ici. Au passage, cette question a déjà été traitée sur AskUbuntu, où tu pourras peut-être trouver davantage de détails.

Édité par JWHSmith

JWHS.

+1 -0
Auteur du sujet

Merci JWHSmith !! Cela m'a bien aidé et merci pour la lecture ! :-)

Je dois avouer que j'ai regardé ce fichier pour vérifier des logs SSH. J'ai donc machinalement pensé qu'il s'agissait d'un processus SSH ou en tout cas de communication réseau. Du coup mes recherches n'ont pas fait mouche.

Bon allez, j'ai un VPS à reconfigurer moi maintenant :)

Édité par abrl

+0 -0
Vous devez être connecté pour pouvoir poster un message.
Connexion

Pas encore inscrit ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte