Log-Files

auth.log 中的哪些條目可能是危險的,哪些不是

  • October 24, 2022

auth.log 中的哪些條目不好,或者我應該害怕哪個條目?

Oct  3 05:00:01 webv2 CRON[25757]: pam_unix(cron:session): session opened for user www-data(uid=33) by (uid=0)
Oct  3 05:00:01 webv2 CRON[25757]: pam_unix(cron:session): session closed for user www-data

1)是因為我在 /etc/sudoers 中有一些條目允許 www-data 啟動文件還是我錯了?

Oct  3 08:23:30 webv2 PackageKit: uid 1000 is trying to obtain org.freedesktop.packagekit.system-sources-refresh auth (only_trusted:0)
Oct  3 08:23:30 webv2 PackageKit: uid 1000 obtained auth for org.freedesktop.packagekit.system-sources-refresh
Oct  3 10:58:14 webv2 polkitd(authority=local): Unregistered Authentication Agent for unix-session:1 (system bus name :1.26, object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale de_AT.UTF-8) (disconnected from bus)
Oct  3 10:58:36 webv2 polkitd(authority=local): Registered Authentication Agent for unix-session:1 (system bus name :1.28 [lxpolkit], object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale de_AT.UTF-8)

2)不知道。那個“未註冊的身份驗證代理”和“已註冊的身份驗證代理”讓我感覺不舒服

Oct  3 12:55:13 webv2 dbus-daemon[549]: [system] Rejected send message, 0 matched rules; type="error", sender=":1.25" (uid=1000 pid=1153 comm="/usr/bin/pulseaudio --daemonize=no --log-target=jo") interface="(unset)" member="(unset)" error name="org.freedesktop.DBus.Error.UnknownMethod" requested_reply="0" destination=":1.27" (uid=0 pid=1383 comm="/usr/libexec/bluetooth/bluetoothd ")

3)?? 我只看到 org.freedesktop。並問自己與藍牙有什麼關係?

Oct  3 10:58:14 webv2 lightdm: pam_unix(lightdm-autologin:session): session closed for user pi
Oct  3 10:58:26 webv2 lightdm: pam_unix(lightdm-autologin:session): session opened for user pi(uid=1000) by (uid=0)
Oct  3 10:58:27 webv2 lightdm: pam_unix(lightdm-autologin:session): session opened for user pi(uid=1000) by (uid=0)

4 ) 燈光顯示管理器。那是因為我為 pi 安裝了普通的桌面 GUI 嗎?我也可以通過 vnc 加入我的 pi,但我並不經常使用它,因為我對 ssh 非常熟悉。那麼他是不是讓我自動登錄到桌面?

Oct  3 10:58:58 webv2 login[722]: pam_unix(login:session): session opened for user pi(uid=1000) by LOGIN(uid=0)

5)我對那個味精的問題是,它不像其他登錄味精那樣典型。這裡有什麼好害怕的嗎?

謝謝任何幫助

這取決於(取決於您安裝的特定發行版和應用程序)哪些事件被記錄到/var/log/auth.log.

但預設情況下:應用程序/系統組件本身使用系統日誌工具 ***auth和/或標記的所有事件,authpriv*無論事件的系統日誌“安全級別”“嚴重性” 如何。

在大多數係統上,這意味著該日誌中的大多數(如果不是全部)消息將是資訊性的,大部分是無害的,當然不是重要的警告或緊急緊急情況。


Oct  3 05:00:01 webv2 CRON[25757]: pam_unix(cron:session): session opened for user www-data(uid=33) by (uid=0)
Oct  3 05:00:01 webv2 CRON[25757]: pam_unix(cron:session): session closed for user www-data

那是因為我在/etc/sudoers誰允許 www-data 啟動文件中有一些條目還是我錯了?

這些是您的 cron 守護程序生成的安全事件,它們簡化了意味著以“www-data”的有效使用者 ID 執行的 cron 作業已啟動並完成。

它們僅供參考。


Oct  3 08:23:30 webv2 PackageKit: uid 1000 is trying to obtain org.freedesktop.packagekit.system-sources-refresh auth (only_trusted:0)
Oct  3 08:23:30 webv2 PackageKit: uid 1000 obtained auth for org.freedesktop.packagekit.system-sources-refresh
Oct  3 10:58:14 webv2 polkitd(authority=local): Unregistered Authentication Agent for unix-session:1 (system bus name :1.26, object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale de_AT.UTF-8) (disconnected from bus)
Oct  3 10:58:36 webv2 polkitd(authority=local): Registered Authentication Agent for unix-session:1 (system bus name :1.28 [lxpolkit], object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale de_AT.UTF-8)

那個“未註冊的認證代理”和“註冊的認證代理”讓我感覺不舒服。

Polkit polkitd (以前稱為 PolicyKit)是用於在 Linux 中控制系統範圍權限的組件。身份驗證幫助程序,身份驗證代理,在經過身份驗證的會話開始時啟動(“已註冊”),並在會話結束時停止(“未註冊”)。

這些是動詞,註冊,取消註冊,而不是形容詞暗示(il-)legal(un-)trusted等。

也只是資訊性消息。


Oct  3 10:58:58 webv2 login[722]: pam_unix(login:session): session opened for user pi(uid=1000) by LOGIN(uid=0)

我對那個味精的問題是,它不像其他登錄味精那樣典型。這裡有什麼好害怕的嗎?

該消息基本上表示為使用者 ID“pi”啟動了登錄會話。

如果這是出乎意料的,那完全取決於您創建和使用的使用者 ID。不過,Raspian 和可能的其他 Raspberry 特定發行版使用該pi使用者 ID 作為預設使用者。

再次純粹提供資訊,除非它涉及不應登錄的服務帳戶使用者。

引用自:https://serverfault.com/questions/1113859