通過 logwatch，我收到 root 正在打開會話“-> 無人”的消息。這是安全問題還是正常操作？

以下是 logwatch 中的一些行：

pam_unix

sshd:   Authentication Failures:
    root (211.167.103.115): 5 Time(s)
    unknown (219.239.110.139): 1 Time(s)   Invalid Users:
    Unknown Account: 1 Time(s) 

su:   Sessions Opened:
    root -> nobody: 3 Time(s)

現在，單獨來看，我會假設這些su條目只是權限的一些定時升級（或降級，視情況而定），但結合 root 密碼破解的標準嘗試，它們更令人不安。我是否應該擔心由於這些通知/日誌監視條目中的任何一組導致的安全漏洞？

您不應該擔心 root 的“身份驗證失敗” - 有無數的惡意軟體和 scriptkiddies 工具在他們可以訪問的每台主機上嘗試 root 密碼。只要您不允許直接 root 登錄和/或擁有足夠複雜的非字典 root 密碼，就無需擔心。

root -> nobody 會話確實被刪除了權限 - 以 root 身份開始並將安全上下文更改為未授予權限的“nobody”使用者 - 這是良好的安全實踐。

引用自：https://serverfault.com/questions/271975