Ubuntu
Auth.log 中的隨機 SSH 條目已過期
在 Rackspace 上執行 Ubuntu Trusty 14.04.1 LTS 伺服器,但最近在執行 bash 更新之後,然後重新啟動 xen 主機漏洞,我遇到了以下奇怪的問題。
一些隨機的 auth.log 條目會彈出過期同步,例如:
Oct 14 12:12:10 myserver sshd[2097]: pam_unix(sshd:session): session closed for user Oct 13 12:58:30 myserver sshd[2522]: Failed password for foo from 21.21.21.21 port 1490 ssh2 Oct 14 12:21:28 myserver sshd[3389]: Accepted password for bar from 22.22.22.22 port 61173 ssh2
我也有一個單獨的 cron.log 執行,(我更改了 rsyslog 的配置)但那裡也有隨機的過時同步條目,例如:
Oct 14 07:11:01 myserver CRON[32099]: (root) CMD Oct 13 03:16:01 myserver CRON[32226]: (root) CMD Oct 14 07:12:01 myserver CRON[32226]: (root) CMD
編輯添加:
我注意到,rsyslog 似乎將某些日誌條目延遲添加到 *.log。一些條目顯示以下模式:
Oct 12 09:19:07 myserver sshd[4792]: pam_unix(sshd:auth): authentication failure; Oct 12 09:19:09 myserver sshd[4792]: Failed password for x Oct 14 12:21:32 myserver su[3484]: pam_unix(su:session): session open Oct 12 09:19:12 myserver sshd[4792]: Failed password for x from 20.20.20.20 port 2158 ssh2
上面的範例顯示前兩個條目準時到達,但最後一個(12 秒)實際上延遲了兩天!
我檢查了伺服器上的日期是否正確,重新啟動了 SSH 程序,重新啟動了 rsyslog。
伺服器上的其他一切都執行良好 - Apache、同步、清漆等
關於我在這裡缺少什麼的任何想法?
這是一個棘手的問題,它實際上是 rsyslog 中的一個錯誤,特別是 RepeatedMsgReduction On,以及使用 Trusty 發布的版本的行為變化(與早期版本相比)
有關血腥細節,請參閱http://bugzilla.adiscon.com/show_bug.cgi?id=527。
簡而言之,關閉 Trusty 上的 RepeatedMsgReduction。它沒有幫助,而且做一些愚蠢的事情。