Bonjour à tous,
Je viens poster un message sur ce forum car je n'arrive pas à identifier une ligne dans le fichier /var/log/secure de mon serveur Linux RedHat.
J'ai installé récemment "Fail2Ban" sur mon serveur Linux pour limiter au maximum les tentatives de connexions en ssh.
Ce matin, Fail2ban était désactivé. Alors que je ne l'ai pas arrêté.
J'ai donc épluché le fichier /var/log/secure et j'ai trouvé quelques suspectes.
J'aimerai savoir si vous savez en quoi correspondent ces lignes. Les voici :
Jul 31 18:43:18 monserveur login: pam_unix(login:session): session closed for user root
Jul 31 18:43:32 monserveur runuser: pam_unix(runuser:session): session opened for user qpidd by (uid=0)
Jul 31 18:43:32 monserveur runuser: pam_unix(runuser:session): session closed for user qpidd
Jul 31 18:43:34 monserveur sshd[1088]: Received signal 15; terminating.
Jul 31 18:56:02 monserveur sshd[1026]: Server listening on 0.0.0.0 port 22.
Jul 31 18:56:02 monserveur sshd[1026]: Server listening on :: port 22.
Jul 31 18:56:07 monserveur runuser: pam_unix(runuser:session): session opened for user qpidd by (uid=0)
Jul 31 18:56:07 monserveur runuser: pam_unix(runuser:session): session closed for user qpidd
Jul 31 18:56:07 monserveur runuser: pam_unix(runuser:session): session opened for user qpidd by (uid=0)
Jul 31 18:56:07 monserveur runuser: pam_unix(runuser:session): session closed for user qpidd
Jul 31 18:56:07 monserveur runuser: pam_unix(runuser-l:session): session opened for user qpidd by (uid=0)
Jul 31 18:56:07 monserveur runuser: pam_unix(runuser-l:session): session closed for user qpidd
Merci d'avance de vos réponses et de votre aide.
Yohan
# login ou runuser
Posté par NeoX . Évalué à 2.
de ce que je comprend,
login:session, c'est une personne qui se connecte (avec un sudo aussi)
et le
runuser:session, ce serait un programme suid
à faire confirmer
# Qpid
Posté par ecid . Évalué à 0.
Bonjour,
Je ne vois rien de "spécial".
1. root ferme sa session à 18:43:18
2. Le démon ssh s'arrête à 18:43:34 car il a reçu un signal STOP (signal 15)
Y a-t-il eu un reboot initié juste avant?
3. Le démon ssh démarre à 18:56:02
4. Les runuser sont liés au compte qpidd utilisé pour le Qpid messaging d'apache. runuser est plus "light"que su, mais ne peut être lancé que par root (d'où le uid=0 dans le fichier de log)
Pour le fail2ban,y a-t-il un logrotate qui éventuellement ferait un stop/restart?
[^] # Re: Qpid
Posté par yoh38 . Évalué à 0.
Merci pour les réponses et les précisions.
Ce qui est étrange c'est que je n'ai pas lancé la commande rebboot mais que le serveur à tout de même redémarré et c'est pour cela que fail2ban s'est arrêté tout comme le démon ssh.
A quoi sert Qpid d'Apache ?
Merci.
Yohan
[^] # Re: Qpid
Posté par ecid . Évalué à 0.
Reboot intempestif … je suggère de faire le tour de tous les autres logs et plus particulièrement entre la fin de la session de l'utilisateur root et le moment où le démon ssh annonce son arrêt.
Qpid apache est un middleware orienté message:
MOM Wikipedia
Qpid apache
Cela me semble tout de même étrange d'avoir Qpid installé sans le savoir, à moins que cela ne soit une dépendance pour une application tierce.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.