禁用 crontab PAM 认证日志

admin 2024年11月7日13:10:03评论3 views字数 1853阅读6分10秒阅读模式

认证日志 /var/log/auth.log 是 linux 非法外联的重要溯源文件,当用户访问系统时会触发 PAM 认证,而认证信息会在 auth.log 日志文件中留下记录。

比如使用 ssh 登录系统时会在 auth.log 中留下登录方式和源地址IP:

$ cat /var/log/auth.logJun 16 11:33:17 it sshd[194605]: Accepted publickey for root from 192.168.1.1 port 57312Jun 16 11:33:59 it sshd[194605]: Received disconnect from 192.168.1.1 port 57312:11: disconnected by userJun 16 11:33:59 it sshd[194605]: Disconnected from 192.168.1.1 port 57312

大多数需要认证的服务都会在 PAM 配置文件目录中有自己的配置文件,比如 sshd 服务是在/etc/pam.d/sshd,除了 sshd 服务还有 samba、vsftpd、cron 等服务也会启用 PAM 认证。这次要讨论的主角是 crontab 定时任务服务。

crontab 每次执行任务时都会触发一次认证,同时在 auth.log 中记录认证日志,比如:

$ tail /var/log/auth.logJun 16 15:31:01 it CRON[126302]: pam_unix(cron:session): session opened for user root by (uid=0)Jun 16 15:31:01 it CRON[126302]: pam_unix(cron:session): session closed for user rootJun 16 15:32:01 it CRON[126758]: pam_unix(cron:session): session opened for user root by (uid=0)Jun 16 15:32:02 it CRON[126758]: pam_unix(cron:session): session closed for user rootJun 16 15:33:01 it CRON[127560]: pam_unix(cron:session): session opened for user root by (uid=0)Jun 16 15:33:01 it CRON[127560]: pam_unix(cron:session): session closed for user root

平时检查 auth.log 日志是否有未授权访问时,一般会通过 grep 过滤掉 crontab 定时任务记录。如果 crontab 定时任务执行地特别频繁,则会在 auth.log 中留下大量的日志。

crontab 的认证日志对于安全检查来说意义不大,可以通过配置 PAM 配置文件,忽略掉 crontab 的认证日志。对于 ubuntu 系统可以在 /etc/pam.d/common-session-noninteractive 文件中加上一行:

session     [success=1 default=ignore] pam_succeed_if.so service in cron quiet use_uid

这行配置应加在以下配置之前:

session required        pam_unix.so

即在 pam_unix.so 之前加入 ignore 配置。修改完配置后会立刻生效,auth.log 中不会再生成新的 crontab 认证日志。

禁用 crontab PAM 认证日志

需要注意的是 ubuntu 系统中的 crontab 服务名为 cron,而 centos 等系统中的服务名叫 crond ,多出一个字母d,在配置时不要搞错了。

参考

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=293272#36https://serverfault.com/questions/141092/cronpam-heavily-spamming-my-logshttps://www.cnblogs.com/kevingrace/p/8671964.htmlhttp://www.jinbuguo.com/linux/pam.htmlhttps://github.com/linux-pam/linux-pam

全文完。

如果转发本文,文末务必注明:“转自微信公众号:生有可恋”。

原文始发于微信公众号(生有可恋):禁用 crontab PAM 认证日志

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月7日13:10:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   禁用 crontab PAM 认证日志https://cn-sec.com/archives/1821157.html

发表评论

匿名网友 填写信息