Вот несколько строк из журнала logwatch:
pam_unix
sshd: Authentication Failures:
root (211.167.103.115): 5 Time(s)
unknown (219.239.110.139): 1 Time(s) Invalid Users:
Unknown Account: 1 Time(s)
su: Sessions Opened:
root -> nobody: 3 Time(s)
Теперь, взятый в одиночку, я бы предположил, что su записи - это всего лишь некоторая временная эскалация привилегий (или дескалация, в зависимости от обстоятельств), но в сочетании со стандартными попытками взлома пароля root они вызывают большее беспокойство. Должен ли я беспокоиться о дырах в безопасности из-за любого из этих наборов записей в уведомлениях / журналах?
Вы не должны беспокоиться о «сбоях аутентификации» для root - существует множество вредоносных программ и инструментов scriptkiddies, пытающихся ввести пароли root на каждом доступном хосте. Пока вы не разрешаете прямой вход в систему с правами root и / или имеете достаточно сложный пароль root без словаря, беспокоиться не о чем.
Сеансы root -> nobody действительно отброшены привилегиями - что-то, что начинается от root и меняет контекст безопасности на непривилегированного пользователя «none» - что является хорошей практикой безопасности.