Esta es una pregunta extraña y sé que la respuesta será algo simple que he pasado por alto... He heredado la responsabilidad de un servidor Linux que ejecuta una versión antigua de Ubuntu 10.04, tiene un script de respaldo ejecutándose cada hora, pero puedo No puedo saber de dónde está huyendo.
En los registros de autenticación veo una entrada cada hora que corresponde exactamente a la hora en que se activa la copia de seguridad, lo que sugiere que se trata de un trabajo cron:
"pam_unix(cron:session): session opened for user root"
No es un comando remoto a través de SSH ya que no hay ninguna entrada de sesión SSH que lo preceda.
Ejecuté el siguiente comando para enumerar todos los trabajos cron de los usuarios, lo que no produce resultados para nadie:
"for user in $(cut -f1 -d: /etc/passwd); do crontab -u $user -l; done"
Tampoco es anacron... ¿Qué más hay? ¿Alguna sugerencia sobre dónde podría buscar a continuación? Estoy pensando que potencialmente hay una aplicación GUI y la entrada del registro de autenticación es engañosa.
gracias de antemano
Respuesta1
El mensaje proviene de PAM, que se consulta cada vez que se genera un shell. Ver contenidos de /etc/pam.d, especialmente archivos /etc/pam.d/common-sessiony /etc/pam.d/cron.
Este mensaje significa que efectivamente hay un cronjob en algún lugar ejecutado por el usuario root. Eso no significa que el trabajo esté haciendo nada (podría, por ejemplo, simplemente verificar si un determinado archivo de registro es lo suficientemente grande como para rotarlo y salir sin rotarlo).
Las definiciones de cronjobs se distribuyen en varios directorios y archivos. Para el usuario root , debe echar un vistazo al archivo , la /etc/crontabsalida crontab -l -u rooty el contenido de los directorios /etc/cron.hourly,,, y . El último contiene tablas de definición de cronjob tradicionales, mientras que todos los demás directorios contienen scripts ejecutables o binarios que ejecuta el cron con un punto mencionado en el nombre del directorio (para obtener más información, consulte )./etc/cron.daily/etc/cron.weekly/etc/cron.monthly/etc/cron.dman run-parts