Esta é uma pergunta estranha e sei que a resposta será algo simples que deixei de lado... Herdei a responsabilidade por um servidor Linux rodando uma versão antiga do Ubuntu 10.04, ele tem um script de backup rodando a cada hora, mas posso não descobri de onde ele está fugindo.
Nos logs de autenticação, vejo uma entrada a cada hora correspondente exatamente ao horário em que o backup é acionado, sugerindo que este é um cron job:
"pam_unix(cron:session): session opened for user root"
Não é um comando remoto sobre SSH, pois não há entrada de sessão SSH anterior.
Executei o seguinte comando para listar todos os cron jobs do usuário, o que não produz resultados para ninguém:
"for user in $(cut -f1 -d: /etc/passwd); do crontab -u $user -l; done"
Também não é anacron... O que mais há? Alguma sugestão sobre onde posso procurar a seguir? Estou pensando que potencialmente existe um aplicativo GUI e a entrada do log de autenticação é enganosa.
desde já, obrigado
Responder1
A mensagem vem do PAM que é consultado toda vez que um shell é gerado. Veja o conteúdo de /etc/pam.d, especialmente arquivos /etc/pam.d/common-sessione /etc/pam.d/cron.
Esta mensagem significa que realmente existe um cronjob em algum lugar que é executado pelo usuário root. Isso não significa que o trabalho esteja fazendo alguma coisa (pode, por exemplo, apenas verificar se um determinado arquivo de log é grande o suficiente para ser girado e sair sem girá-lo).
As definições de cronjobs estão espalhadas por vários diretórios e arquivos. Para o usuário root , você deve dar uma olhada no arquivo /etc/crontab, na saída crontab -l -u roote no conteúdo dos diretórios /etc/cron.hourly, /etc/cron.daily, /etc/cron.weeklye . O último contém tabelas tradicionais de definição de cronjob, enquanto todos os outros diretórios contêm scripts executáveis ou binários que são executados pelo cron com um ponto mencionado no nome do diretório (para obter mais informações, consulte )./etc/cron.monthly/etc/cron.dman run-parts