auth.log 中的哪些條目可能是危險的，哪些不是

auth.log 中的哪些條目不好，或者我應該害怕哪個條目？

Oct  3 05:00:01 webv2 CRON[25757]: pam_unix(cron:session): session opened for user www-data(uid=33) by (uid=0)
Oct  3 05:00:01 webv2 CRON[25757]: pam_unix(cron:session): session closed for user www-data

1）是因為我在 /etc/sudoers 中有一些條目允許 www-data 啟動文件還是我錯了？

Oct  3 08:23:30 webv2 PackageKit: uid 1000 is trying to obtain org.freedesktop.packagekit.system-sources-refresh auth (only_trusted:0)
Oct  3 08:23:30 webv2 PackageKit: uid 1000 obtained auth for org.freedesktop.packagekit.system-sources-refresh
Oct  3 10:58:14 webv2 polkitd(authority=local): Unregistered Authentication Agent for unix-session:1 (system bus name :1.26, object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale de_AT.UTF-8) (disconnected from bus)
Oct  3 10:58:36 webv2 polkitd(authority=local): Registered Authentication Agent for unix-session:1 (system bus name :1.28 [lxpolkit], object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale de_AT.UTF-8)

2）不知道。那個“未註冊的身份驗證代理”和“已註冊的身份驗證代理”讓我感覺不舒服

Oct  3 12:55:13 webv2 dbus-daemon[549]: [system] Rejected send message, 0 matched rules; type="error", sender=":1.25" (uid=1000 pid=1153 comm="/usr/bin/pulseaudio --daemonize=no --log-target=jo") interface="(unset)" member="(unset)" error name="org.freedesktop.DBus.Error.UnknownMethod" requested_reply="0" destination=":1.27" (uid=0 pid=1383 comm="/usr/libexec/bluetooth/bluetoothd ")

3)?? 我只看到 org.freedesktop。並問自己與藍牙有什麼關係？

Oct  3 10:58:14 webv2 lightdm: pam_unix(lightdm-autologin:session): session closed for user pi
Oct  3 10:58:26 webv2 lightdm: pam_unix(lightdm-autologin:session): session opened for user pi(uid=1000) by (uid=0)
Oct  3 10:58:27 webv2 lightdm: pam_unix(lightdm-autologin:session): session opened for user pi(uid=1000) by (uid=0)

4 ) 燈光顯示管理器。那是因為我為 pi 安裝了普通的桌面 GUI 嗎？我也可以通過 vnc 加入我的 pi，但我並不經常使用它，因為我對 ssh 非常熟悉。那麼他是不是讓我自動登錄到桌面？

Oct  3 10:58:58 webv2 login[722]: pam_unix(login:session): session opened for user pi(uid=1000) by LOGIN(uid=0)

5）我對那個味精的問題是，它不像其他登錄味精那樣典型。這裡有什麼好害怕的嗎？

謝謝任何幫助

這取決於（取決於您安裝的特定發行版和應用程序）哪些事件被記錄到/var/log/auth.log.

但預設情況下：應用程序/系統組件本身使用系統日誌工具 ***auth和/或標記的所有事件，authpriv*無論事件的系統日誌“安全級別”或“嚴重性” 如何。

在大多數係統上，這意味著該日誌中的大多數（如果不是全部）消息將是資訊性的，大部分是無害的，當然不是重要的警告或緊急緊急情況。

---

Oct  3 05:00:01 webv2 CRON[25757]: pam_unix(cron:session): session opened for user www-data(uid=33) by (uid=0)
Oct  3 05:00:01 webv2 CRON[25757]: pam_unix(cron:session): session closed for user www-data

那是因為我在/etc/sudoers誰允許 www-data 啟動文件中有一些條目還是我錯了？

這些是您的 cron 守護程序生成的安全事件，它們簡化了意味著以“www-data”的有效使用者 ID 執行的 cron 作業已啟動並完成。

它們僅供參考。

---

Oct  3 08:23:30 webv2 PackageKit: uid 1000 is trying to obtain org.freedesktop.packagekit.system-sources-refresh auth (only_trusted:0)
Oct  3 08:23:30 webv2 PackageKit: uid 1000 obtained auth for org.freedesktop.packagekit.system-sources-refresh
Oct  3 10:58:14 webv2 polkitd(authority=local): Unregistered Authentication Agent for unix-session:1 (system bus name :1.26, object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale de_AT.UTF-8) (disconnected from bus)
Oct  3 10:58:36 webv2 polkitd(authority=local): Registered Authentication Agent for unix-session:1 (system bus name :1.28 [lxpolkit], object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale de_AT.UTF-8)

那個“未註冊的認證代理”和“註冊的認證代理”讓我感覺不舒服。

Polkit polkitd （以前稱為 PolicyKit）是用於在 Linux 中控制系統範圍權限的組件。身份驗證幫助程序，身份驗證代理，在經過身份驗證的會話開始時啟動（“已註冊”），並在會話結束時停止（“未註冊”）。

這些是動詞，註冊，取消註冊，而不是形容詞暗示（il-）legal（un-）trusted等。

也只是資訊性消息。

---

Oct  3 10:58:58 webv2 login[722]: pam_unix(login:session): session opened for user pi(uid=1000) by LOGIN(uid=0)

我對那個味精的問題是，它不像其他登錄味精那樣典型。這裡有什麼好害怕的嗎？

該消息基本上表示為使用者 ID“pi”啟動了登錄會話。

如果這是出乎意料的，那完全取決於您創建和使用的使用者 ID。不過，Raspian 和可能的其他 Raspberry 特定發行版使用該pi使用者 ID 作為預設使用者。

再次純粹提供資訊，除非它涉及不應登錄的服務帳戶使用者。

引用自：https://serverfault.com/questions/1113859