Ubuntu

Auth.log 中的隨機 SSH 條目已過期

  • December 28, 2014

在 Rackspace 上執行 Ubuntu Trusty 14.04.1 LTS 伺服器,但最近在執行 bash 更新之後,然後重新啟動 xen 主機漏洞,我遇到了以下奇怪的問題。

一些隨機的 auth.log 條目會彈出過期同步,例如:

Oct 14 12:12:10 myserver sshd[2097]: pam_unix(sshd:session): session closed for user
Oct 13 12:58:30 myserver sshd[2522]: Failed password for foo from 21.21.21.21 port 1490 ssh2
Oct 14 12:21:28 myserver sshd[3389]: Accepted password for bar from 22.22.22.22 port 61173 ssh2

我也有一個單獨的 cron.log 執行,(我更改了 rsyslog 的配置)但那裡也有隨機的過時同步條目,例如:

Oct 14 07:11:01 myserver CRON[32099]: (root) CMD
Oct 13 03:16:01 myserver CRON[32226]: (root) CMD
Oct 14 07:12:01 myserver CRON[32226]: (root) CMD

編輯添加:

我注意到,rsyslog 似乎將某些日誌條目延遲添加到 *.log。一些條目顯示以下模式:

Oct 12 09:19:07 myserver sshd[4792]: pam_unix(sshd:auth): authentication failure;
Oct 12 09:19:09 myserver sshd[4792]: Failed password for x
Oct 14 12:21:32 myserver su[3484]: pam_unix(su:session): session open
Oct 12 09:19:12 myserver sshd[4792]: Failed password for x from 20.20.20.20 port 2158 ssh2

上面的範例顯示前兩個條目準時到達,但最後一個(12 秒)實際上延遲了兩天!

我檢查了伺服器上的日期是否正確,重新啟動了 SSH 程序,重新啟動了 rsyslog。

伺服器上的其他一切都執行良好 - Apache、同步、清漆等

關於我在這裡缺少什麼的任何想法?

這是一個棘手的問題,它實際上是 rsyslog 中的一個錯誤,特別是 RepeatedMsgReduction On,以及使用 Trusty 發布的版本的行為變化(與早期版本相比)

有關血腥細節,請參閱http://bugzilla.adiscon.com/show_bug.cgi?id=527

簡而言之,關閉 Trusty 上的 RepeatedMsgReduction。它沒有幫助,而且做一些愚蠢的事情。

引用自:https://serverfault.com/questions/636901