Назад | Перейти на главную страницу

cron + pam рассылает спам в мои журналы

Два раза в минуту я получаю это auth.log:

May 12 15:21:01 ruptai CRON[25303]: pam_unix(cron:session): session opened for user root by (uid=0)
May 12 15:21:01 ruptai CRON[25303]: pam_unix(cron:session): session closed for user root

Это никогда не прекращается, два раза в минуту, каждую минуту каждого дня.

Понятия не имею, что это такое, я бы просто остановил его от бессмысленной регистрации этого материала. Это продолжается уже много лет, поэтому я не могу вспомнить, когда это началось.

ОС является стабильной debian.

Кстати, я нашел вопросы в Google, но нет ответов

Обновить:

На /etc/pam.d/ среди прочего есть четыре файла с именем common- *, которые включаются другими.

common-auth:

auth    required        pam_unix.so md5

общий счет:

account required        pam_unix.so md5

общая сессия:

session required        pam_unix.so md5

общий пароль:

password   required   pam_unix.so nullok obscure min=4 max=8 md5

(Я попытался добавить эту строку в common-session, но безрезультатно)

Хавьер дал здесь конкретный ответ Debian: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=293272#36

Я добавил это в начале /etc/pam.d/cron в системе Lenny, и это сработало (я перезапустил cron, но не знаю, было ли это необходимо):

session     [success=1 default=ignore] pam_succeed_if.so service in cron quiet use_uid

Это соответствующая часть /etc/pam.d/password-auth в системе Fedora с тихим crond:

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

Важная линия - третья. Поместите это в соответствующее место в конфигурации Debian PAM, и это должно закрыть его.

Я предполагаю, что для root есть задача crontab, либо в crontab root, либо в общесистемных файлах cron, которая запускается каждую минуту.

Как только вы найдете эту задачу, вы, возможно, сможете настроить ее так, чтобы она не запускалась каждую минуту.

Мне интересно, в чем проблема, если это будет продолжаться? если / var мало на диске, вы можете настроить более агрессивную ротацию журнала с помощью auth.log и сжимать его каждый день (следует сжимать до очень маленького размера, поскольку строки почти идентичны).

для общего мониторинга журнала egrep -v 'session (opened|closed) for user root' отфильтровал бы все эти сообщения ...