认证日志 /var/log/auth.log 是 linux 非法外联的重要溯源文件,当用户访问系统时会触发 PAM 认证,而认证信息会在 auth.log 日志文件中留下记录。
比如使用 ssh 登录系统时会在 auth.log 中留下登录方式和源地址IP:
$ cat /var/log/auth.log
Jun 16 11:33:17 it sshd[194605]: Accepted publickey for root from 192.168.1.1 port 57312
Jun 16 11:33:59 it sshd[194605]: Received disconnect from 192.168.1.1 port 57312:11: disconnected by user
Jun 16 11:33:59 it sshd[194605]: Disconnected from 192.168.1.1 port 57312
大多数需要认证的服务都会在 PAM 配置文件目录中有自己的配置文件,比如 sshd 服务是在/etc/pam.d/sshd,除了 sshd 服务还有 samba、vsftpd、cron 等服务也会启用 PAM 认证。这次要讨论的主角是 crontab 定时任务服务。
crontab 每次执行任务时都会触发一次认证,同时在 auth.log 中记录认证日志,比如:
log/auth.log tail /var/
Jun 16 15:31:01 it CRON[126302]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 16 15:31:01 it CRON[126302]: pam_unix(cron:session): session closed for user root
Jun 16 15:32:01 it CRON[126758]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 16 15:32:02 it CRON[126758]: pam_unix(cron:session): session closed for user root
Jun 16 15:33:01 it CRON[127560]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 16 15:33:01 it CRON[127560]: pam_unix(cron:session): session closed for user root
平时检查 auth.log 日志是否有未授权访问时,一般会通过 grep 过滤掉 crontab 定时任务记录。如果 crontab 定时任务执行地特别频繁,则会在 auth.log 中留下大量的日志。
crontab 的认证日志对于安全检查来说意义不大,可以通过配置 PAM 配置文件,忽略掉 crontab 的认证日志。对于 ubuntu 系统可以在 /etc/pam.d/common-session-noninteractive 文件中加上一行:
session [success=1 default=ignore] pam_succeed_if.so service in cron quiet use_uid
这行配置应加在以下配置之前:
session required pam_unix.so
即在 pam_unix.so 之前加入 ignore 配置。修改完配置后会立刻生效,auth.log 中不会再生成新的 crontab 认证日志。
需要注意的是 ubuntu 系统中的 crontab 服务名为 cron,而 centos 等系统中的服务名叫 crond ,多出一个字母d,在配置时不要搞错了。
参考
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=293272#36
https://serverfault.com/questions/141092/cronpam-heavily-spamming-my-logs
https://www.cnblogs.com/kevingrace/p/8671964.html
http://www.jinbuguo.com/linux/pam.html
https://github.com/linux-pam/linux-pam
全文完。
如果转发本文,文末务必注明:“转自微信公众号:生有可恋”。
原文始发于微信公众号(生有可恋):禁用 crontab PAM 认证日志
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论