在 Linux 服务器上有很多类似这样的日志消息:
Jul 17 09:22:34 sweden sudo[3631848]: pam_unix(sudo:auth): auth could not identify password for [myuser]
Jul 17 09:22:34 sweden sudo[3631848]: pam_sss(sudo:auth): authentication failure; logname= uid=30044 euid=0 tty= ruser=myuser rhost= user=myuser
Jul 17 09:22:34 sweden sudo[3631848]: pam_sss(sudo:auth): received for user myuser: 7 (Authentication failure)
Jul 17 09:22:35 sweden sudo[3631849]: pam_unix(sudo:auth): Couldn't open /etc/securetty: No such file or directory
Jul 17 09:22:35 sweden sudo[3631849]: pam_unix(sudo:auth): conversation failed
它们是由一个未知程序生成的,该程序刚刚淹没了期刊。每约 500 毫秒就会生成一个新进程,但我无法识别起源(无论是命令还是其父进程)。
我怎样才能停止(SIGSTOP)这样一个生存时间极短并且总是改变PID的进程?
我尝试用 来查看它watch -n0.1 'ps fuxww',但那里什么也没有出现。
答案1
查找正在运行的进程
myuser并调查它们的作用。运行
crontab -u myuser -l以查看是否有任何正在运行的 cron 作业sudo(直接在 crontab 条目中或在从 cron 运行的脚本中)grep myuser /etc/crontab /etc/cron*/*以防有任何系统 cron 作业myuser。运行
atq以查看是否有任何at作业排队。还要查看
~myuser/.config/systemd/user/他们是否安排了任何 systemd 计时器作业。运行
grep -r pam_securetty /etc/pam.d/以找出哪些 pam 服务配置为在您甚至没有文件时使用 securetty/etc/securetty(*)。sudo将是其中之一,因为这就是生成身份验证日志消息的原因,也许是其他消息,也许是文件之一/etc/pam.d/common-*。
(*)/etc/securetty用于限制允许哪个 ttys root 登录。