我已经设置了一个新的 debian vm 并安装了 gitlab-ce。VM 上实际上没有太多其他内容...从一开始,以下消息就开始出现在 auth.log 中:
Mon 2015-08-24 21:47:36.154862 CEST [s=a93d5b0787f54cb68c24d8c7c55985a4;i=2c1bc8;b=567468ca921c4b52ba291
_TRANSPORT=syslog
_UID=0
_GID=0
_BOOT_ID=567468ca921c4b52ba2911c8b97e5f3a
_MACHINE_ID=b6d23c0be1dbee31de2dd2b1553a4f0c
_HOSTNAME=kraken
SYSLOG_FACILITY=4
PRIORITY=4
SYSLOG_IDENTIFIER=root
_COMM=logger
MESSAGE=ssh/bash[9276]: Logged in without disclosing public key - Intrusion?
_PID=9283
_SOURCE_REALTIME_TIMESTAMP=1440445656154862
现在它每天会出现几百次。
这到底是什么意思?我应该担心吗?
更新:该消息似乎来自 sshd
1 23979 23979 23979 ? -1 Ss 0 4:37 /usr/sbin/sshd -D
23979 9274 9274 9274 ? -1 Ss 0 0:00 \_ sshd: root@pts/2
9274 9276 9276 9276 pts/2 9276 Ss+ 0 0:00 \_ -bash
它似乎在每次从 root 登录时都会触发(至少也是如此),然后在日志中出现 1 到 40 次左右。
OpenSSH_6.7p1 Debian-5, OpenSSL 1.0.1k 8 Jan 2015
答案1
日志条目表明,bash 通过 pid 使用该logger程序发布了日志消息。这表明启动脚本中的某些内容正在创建此消息。