¿Por qué veo una sesión CRON abriendo y cerrando cada hora en /var/log/auth.log?

46

Soy bastante nuevo con Linux en general, por lo que esta puede ser una pregunta tonta, pero aún así me gustaría saber la respuesta

Esta mañana, cuando miro mi /var/log/auth.log (que me han dicho que haga un hábito), noto que una vez por hora ha registrado un evento que se ve así:

     May 13 20:17:01 Ubuntu-Server-1401-VM CRON[2280]: pam_unix(cron:session): session opened for user root by (uid=0)
     May 13 20:17:01 Ubuntu-Server-1401-VM CRON[2280]: session closed for user root

Luego se procedió a suceder cada hora a las x: 17: 01 hasta que abrí el registro. Una conexión SSH a este servidor se mantuvo viva durante este tiempo (donde se produjo el registro). Mi mejor conjetura es que cada hora mi cliente SSH ha buscado ver si puede o no obtener acceso raíz como una forma de verificar la conexión a la conexión SSH con el servidor, pero me gustaría estar seguro. ¿Alguien sabe lo que es esto?

Terje Gundersen
fuente

Respuestas:

51

Suponiendo que no ha cambiado nada desde la cronconfiguración predeterminada , esta es su /etc/crontabejecución. En mi servidor Ubuntu 10.04.3 LTS, su contenido incluye:

# m h dom mon dow user  command
17 *    * * *   root    cd / && run-parts --report /etc/cron.hourly

Entonces, se crondespierta cada hora y ejecuta los scripts ubicados en /etc/cron.hourly. Probablemente no tenga ninguno, por eso no hace nada. Simplemente ejecuta una rootsesión que se ejecuta run-partsy luego cierra la sesión nuevamente.

terdon
fuente
1
lo tengo desactivado, debe ser un desperdicio ...
Tebe
16

Estas entradas de registro fueron escritas por las bibliotecas PAM cuando el cronddemonio ejecutó tareas en segundo plano. crondejecuta trabajos en un horario, en nombre del sistema y los usuarios en el sistema.

Cada usuario tiene su propio crontabarchivo de configuración, que puede editarse con el crontab -ecomando o mostrarse usando crontab -l. El administrador del sistema también puede configurar trabajos a través de una gran cantidad de /etc/archivos y directorios; /etc/cron.d/proporciona un lugar fácil para los servicios que caen sus propias configuraciones y /etc/crontabunidades de los hourly, dailyy weeklydirectorios, así como carreras cualquiera que sea el administrador puede optar por ejecutar.

crondcambiará los usuarios al usuario correcto (ya sea especificado en el /etc/crontabarchivo y el /etc/cron.d/directorio, o de los crontabarchivos proporcionados por el usuario ) antes de ejecutar los trabajos; Utiliza el sistema PAM para cambiar de usuario.

PAM proporciona un lugar único para configurar diferentes formas de autenticar y autorizar a los usuarios y proporcionar la configuración de la sesión, así como también una forma de cambiar las contraseñas (u otros tokens de autenticación). Cada servicio que usa PAM tiene un archivo de configuración /etc/pam.d/que describe qué módulos PAM usar al 'iniciar sesión' en un usuario.

Mi /etc/pam.d/cronarchivo se ve así:

# The PAM configuration file for the cron daemon

@include common-auth

# Read environment variables from pam_env's default files, /etc/environment
# and /etc/security/pam_env.conf.
session       required   pam_env.so

# In addition, read system locale information
session       required   pam_env.so envfile=/etc/default/locale

@include common-account
@include common-session-noninteractive 

# Sets up user limits, please define limits for cron tasks
# through /etc/security/limits.conf
session    required   pam_limits.so

Esto garantiza que los límites configurados para los usuarios se apliquen a las tareas de los usuarios cuando las ejecutan cron. Si desea cambiar esos límites por servicio, puede configurar pam_limits.soen este archivo los suyos propios conf=/etc/security/cron-limits.confy aplicar límites diferentes a los inicios de sesión ssh ( /etc/pam.d/sshd) o inicios de sesión de consola ( /etc/pam.d/login).

sarnold
fuente