[Précédent (date)] [Suivant (date)] [Précédent (sujet)] [Suivant (sujet)] [Index par date] [Index par sujet]

Re: étrange



[email protected] ("François") écrit :

> autre observation
> a finger nobody j'ai
> login: nobody
> directory: /
> never logged in

L'usager nobody a très peu de privilèges et sert à exécuter des tâches
pour lesquelles une telle caractéristique est appropriée.  Par
exemple, lorsqu'un filesystem est monté sur une autre machine par NFS
et que l'usager root de l'autre machine veut y accéder, il n'est
habituellement vu que comme nobody car on ne veut pas reconnaître à ce
root distant ses privilèges habituels.  Sur certains systèmes, il
roule aussi des serveurs comme httpd car ça serait moins grave si le
serveur était compromis par une attaque distante (d'autres systèmes
utilisent un usager spécial www pour mieux cloisonner).

> "François" a écrit dans le message ...
> >Bonsoir
> >c'est la première nuit que je laisse mon système linux ouvert et j'ai été
> >réveillé par une activité eccessive du disque dur.
> >Avec la commande top, j'ai vu un load average de 1.27 (notez que c'est un
> >386)

Certaines tâches d'entretient du système sont exécutées par cron en
plein milieu de la nuit.  En particulier, il faudrait voir à quelle
heure roulent les tâches journalières (« daily » dans /etc/crontab).
Par exemple, c'est 04:02 si la ligne commence par

        02 4

> >et il semblait y avoir un user nobody.....
> >aussitot que j'ai fait talk nobody (qui n'a pas fonctionné) nobody semble
> >être disparu..

Une des tâches, initialement exécutée par root, est peut-être déléguée
à l'usager nobody.  Que retourne

        grep nobody /etc/cron.daily/*

> >Bon le fichier var/log /secure ne contien maintenant qu'une seule ligne,
> >soit in.ntalk qui est surement ma tentative pour talk.
> >Par contre, le fichier messages  (qui lui aussi semble ne contenir des info
> >ne datant pas plus de 20 minutes) à 3 lignes   syslogd 1.3-3: restart, puis
> >
> >PAM_pwdb[792]: (su) session opened for user nobody by (uid=99)
> >
> >un peu plus loins j'ai:
> >PAM_pwdb[343]:  check pass: user unknows
> >
> >et finallement:
> >PAM_pwdb[792]: (su) session closed fo user nobody

Il y a des heures associées à ces lignes.  Correspondent-elles à
celles configurée dans crontab ?  La commande su (entre parenthèses) a
été utilisée pour la session de nobody.  C'est cohérent avec
l'exécution d'une commande avec

        su nobody -c ...

pour le processus 792 (entre crochets).  Par contre, pour le processus
343, je ne sais pas.  Ne serait-ce pas simplement toi qui, dans la
nervosité du moment, as tenté de te logger et t'es trompé dans ce que
tu as tappé la première fois ?


Charles