• LINUX > gérer ses logs 

      CRON: pam_unix(cron:session): session opened for user root by (uid=0)

       

      As per the following links, do we need to fix this issue or can we at least increase the time of listing between the entries?

      https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=293272

      http://languor.us/cron-pam-unix-cron-session-session-opened-closed-user-root-uid0

       

      For my server currently it’s 1 pair of entry in every 5 minutes. Say, I’ve increased the time to 30 minutes, would I miss any login attempt (legit and hacking both)?

      debian cron logs

      The entries are added to the log each time a cron job runs. To reduce the time between entries, you would have to look at your cron jobs and change their timings. This, though, may break something that relies on those jobs running at specific intervals.

       

      If they really do annoy you, then simply follow the instructions on the Debian bug report and stop cron from logging an entry in the auth.log each time a job runs. That is, edit /etc/pam.d/common-session-noninteractive and add:

       

      session [success=1 default=ignore] pam_succeed_if.so service in cron quiet use_uid

      -

      J’ai déjà ajouté dans les fichiers «/etc/pam.d/common-session-noninteractive » et « /etc/pam.d/common-session» la ligne suivante :

      session [success=1 default=ignore] pam_succeed_if.so service in cron quiet use_uid

      Mais je contenue à avoir toujours ces logs.
      Savez-vous comment faire pour ne plus les avoirs ?

       

      J’ai trouvé cela sur un autre forum.J’espère que cela résoudra ton soucis.

      SOLUTION 2 :

      dans le fichier /etc/ssh/sshd_config, il faut commenter les lignes :

       

      #ChallengeResponseAuthentication yes
#UsePAM yes

       

      -

       

      je colle le retour de systemctl list-timers -a

      ahote@dtc:~$ systemctl list-timers -a
NEXT                          LEFT          LAST                          PASSED       UNIT                         ACTIVATES
Sat 2018-08-04 18:10:13 CEST  1h 20min left Sat 2018-08-04 05:51:59 CEST  10h ago      motd-news.timer              motd-news.service
Sun 2018-08-05 05:01:15 CEST  12h left      Sat 2018-08-04 15:37:46 CEST  1h 12min ago apt-daily.timer              apt-daily.service
Sun 2018-08-05 06:32:36 CEST  13h left      Sat 2018-08-04 06:08:39 CEST  10h ago      apt-daily-upgrade.timer      apt-daily-upgrade.service
Sun 2018-08-05 11:42:22 CEST  18h left      Sat 2018-08-04 11:42:22 CEST  5h 7min ago  systemd-tmpfiles-clean.timer systemd-tmpfiles-clean.service
Mon 2018-08-06 00:00:00 CEST  1 day 7h left Mon 2018-07-30 00:00:00 CEST  5 days ago   fstrim.timer                 fstrim.service
n/a                           n/a           n/a                           n/a          snapd.snap-repair.timer      snapd.snap-repair.service
n/a                           n/a           Sun 2018-07-29 11:28:30 CEST  6 days ago   ureadahead-stop.timer        ureadahead-stop.service

7 timers listed.

      je pense avoir trouvé le coupable

      voici le contenu de mon fichier /etc/crontab

      # /etc/crontab: system-wide crontab

SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

# m h dom mon dow user	command
17 *	* * *	root    cd / && run-parts --report /etc/cron.hourly
25 6	* * *	root	test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6	* * 7	root	test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6	1 * *	root	test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
#

      je supose que ca vient de la ligne :

      17 *	* * *	root    cd / && run-parts --report /etc/cron.hourly

      mais honnêtement je n’ai pas la moindre idée de l’utilité de celle-ci, comment savoir ce quelle exécute ?

      #8

      xubu1957 a écrit :

      Dans > crontab-execute-une-commande-crontab-mauvaise-heure

      Le role d’anacron est de lancer toutes les commandes que cron aurait loupé parce que la machine est éteinte par exemple.
      Tu n’aurais pas un probléme de config de l’heure sur ton PC ?
      La plus simple est d’avoir l’heure BIOS en GMT et de configurer le fuseau horaire dans debian.
      Mais ça ne marche pas en double boot avec windows car celui ci va écrire l’heure locale dans le BIOS.

       

      j’avais déjà lu ce post mais il ne semble pas avoir le mème problème que moi

      lorsque je me log mon serveur me donne bien la bonne heure (comment savoir si il y a un problème ?)
      mon bios est a l’heure locale et pas de dual boot winwin
      anacron n’est pas installé

      #9

      Une piste dans > [résolu] Tâches cron.hourly ?

      #10

      déjà lu aussi  lol :-)

      je n’ai créé aucun script cron
      et le dossier cron.hourly n’en contient pas

      #11

      A mon avis, cron se reveille à l’heure indiquée, lance un shell root, voit qu’il n’y a rien à faire, stoppe le shell.

      Ca pourrit un peu les logs au final…

      #13

      est-ce judicieux de commenté la ligne ?

      Pour moi non vu que le système peut avoir besoin de créer une tâche cron (exemple: antivirus)

      Du coup, à part séparer les logs cron, je vois pas trop quoi faire (au passage si tu veux voir les infos intéressantes dans ce tas de lignes à répétition, tu peux trier avec grep et le paramètre -v)

      Le fichier /etc/rsyslog.d/50-default.conf permet de rediriger les logs. il faut peut être enlever le # devant "cron.*                         /var/log/cron.log", puis faire

      sudo service rsyslog restart

      et attendre patiemment pendant 1h

      Hum, c’est dommage, on aurait dû comparer avec le fichier syslog depuis le début, on aurait trouvé la commande lancée plus vite

      #14

      Naziel a écrit :

      Du coup, à part séparer les logs cron, je vois pas trop quoi faire (au passage si tu veux voir les infos intéressantes dans ce tas de lignes à répétition, tu peux trier avec grep et le paramètre -v)

      pas bête le grep -v :-) mais ca reste fastidieux a mon avi, surtout que la plus part du temps je lis mes logs sur smartphone
      séparé les logs me semble être la meilleur solution :-) grace a toi je sais enfin comment faire lol, je ne cherchait pas dans le bon fichier…
      Naziel a écrit :

      Le fichier /etc/rsyslog.d/50-default.conf permet de rediriger les logs. il faut peut être enlever le # devant "cron.*                         /var/log/cron.log", puis faire

      sudo service rsyslog restart

      et attendre patiemment pendant 1h

      c’est fait, wait & see
      Naziel a écrit :

      Hum, c’est dommage, on aurait dû comparer avec le fichier syslog depuis le début, on aurait trouvé la commande lancée plus vite

      j’avais fouillé un peut de ce coté mais sans trouvé qqch de concret lol , il y a encore beaucoup de zone que je n’ai pasencore explorer dans linux ;-p

      je te tien au courant dans 1 heures :-)
      merci beucoup

      #15

      Tes logs sont tout à fait normaux. Il n’ya aucune raison de « bidouiller » pour supprimer cela.
      Ces lignes correspondent effectivement au tâches cron (cron.hourly, même si le dossier ne contient pas de scripts) lancées par le système (par root).

      Si tu tiens absolument à ne plus voir cela dans auth.log, modifie le fichier /etc/rsyslog.d/50-default.conf de :

      auth,authpriv.*			/var/log/auth.log
*.*;auth,authpriv.none		-/var/log/syslog
#cron.*				/var/log/cron.log

      vers:

      *.*;auth,authpriv.none		-/var/log/syslog
# Si le programme est cron , on envoie vers cron.log
:programname, isequal, "CRON" ~
cron.*				/var/log/cron.log
auth,authpriv.*			/var/log/auth.log

      Et penser à relancer le service :

      sudo systemctl restart rsyslog

      Dernière modification par bruno (Le 05/08/2018, à 15:29)

      #16

      petit retour :

      dé-commenté la ligne :

      #cron.*		/var/log/cron.log

      n’a rien changé

      du coup :j’ai ajouté la ligne :

      :programname, isequal, "CRON" ~

      verdict dans une heure :-)

      #17

      pas besoin d’attendre au-temps

      Aug  5 14:17:01 dtc CRON[5141]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug  5 14:17:01 dtc CRON[5141]: pam_unix(cron:session): session closed for user root

      #18

      Si tu fais exactement ce que j’ai indiqué en #15 cela doit fonctionner.

      #19

      voici mon fichier /etc/rsyslog.d/50-default.conf , est-ce que j’ai oublié qqch ?
      EDIT: J’AI VUE QUE J’AVAIS FAIT UNE FAUTE DE FRAPPE…. HONTE SUR MOI LOL
      J’AI MODIFIER LE RENDU JUSTE EN DESSOUS POUR NE PAS INDUIRE QQUN EN ERREUR
      ET JE PASSE LE POST EN |RESOLU]

      MERCI ENCORE A VOUS DEUX

      $ cat /etc/rsyslog.d/50-default.conf
#  Default rules for rsyslog.
#
# For more information see rsyslog.conf(5) and /etc/rsyslog.conf

#
# First some standard log files.  Log by facility.
#

*.*;auth,authpriv.none		-/var/log/syslog
:programname, isequal, "CRON" ~
cron.*				/var/log/cron.log
auth,authpriv.*			/var/log/auth.log
#daemon.*			-/var/log/daemon.log
kern.*				-/var/log/kern.log
#lpr.*				-/var/log/lpr.log
mail.*				-/var/log/mail.log
#user.*				-/var/log/user.log

#
# Logging for the mail system.  Split it up so that
# it is easy to write scripts to parse these files.
#
#mail.info			-/var/log/mail.info
#mail.warn			-/var/log/mail.warn
mail.err			/var/log/mail.err

#
# Some "catch-all" log files.
#
#*.=debug;\
#	auth,authpriv.none;\
#	news.none;mail.none	-/var/log/debug
#*.=info;*.=notice;*.=warn;\
#	auth,authpriv.none;\
#	cron,daemon.none;\
#	mail,news.none		-/var/log/messages

#
# Emergencies are sent to everybody logged in.
#
*.emerg				:omusrmsg:*

#
# I like to have messages displayed on the console, but only on a virtual
# console I usually leave idle.
#
#daemon,mail.*;\
#	news.=crit;news.=err;news.=notice;\
#	*.=debug;*.=info;\
#	*.=notice;*.=warn	/dev/tty8

      #20

      ce qui est dommage par contre c’est que les logs n’apparaisse pas  dans cron.log
      il y a une seule ligne :

      $ cat /var/log/cron.log
Aug  5 13:17:01 dtc CRON[4728]: (root) CMD (   cd / && run-parts --report /etc/cron.hourly)

      -

 

Aucun commentaire

 

Laissez un commentaire