auth.log 中的哪些条目可能有危险,哪些不危险

auth.log 中的哪些条目可能有危险,哪些不危险

auth.log 中的哪些条目不好或我应该对哪一个感到害怕?

Oct  3 05:00:01 webv2 CRON[25757]: pam_unix(cron:session): session opened for user www-data(uid=33) by (uid=0)
Oct  3 05:00:01 webv2 CRON[25757]: pam_unix(cron:session): session closed for user www-data

1)是不是因为我在 /etc/sudoers 中有一些条目允许 www-data 启动文件,还是我错了?

Oct  3 08:23:30 webv2 PackageKit: uid 1000 is trying to obtain org.freedesktop.packagekit.system-sources-refresh auth (only_trusted:0)
Oct  3 08:23:30 webv2 PackageKit: uid 1000 obtained auth for org.freedesktop.packagekit.system-sources-refresh
Oct  3 10:58:14 webv2 polkitd(authority=local): Unregistered Authentication Agent for unix-session:1 (system bus name :1.26, object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale de_AT.UTF-8) (disconnected from bus)
Oct  3 10:58:36 webv2 polkitd(authority=local): Registered Authentication Agent for unix-session:1 (system bus name :1.28 [lxpolkit], object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale de_AT.UTF-8)

2)不知道。“未注册的身份验证代理”和“注册的身份验证代理”让我感觉不舒服

Oct  3 12:55:13 webv2 dbus-daemon[549]: [system] Rejected send message, 0 matched rules; type="error", sender=":1.25" (uid=1000 pid=1153 comm="/usr/bin/pulseaudio --daemonize=no --log-target=jo") interface="(unset)" member="(unset)" error name="org.freedesktop.DBus.Error.UnknownMethod" requested_reply="0" destination=":1.27" (uid=0 pid=1383 comm="/usr/libexec/bluetooth/bluetoothd ")

3 ) ?? 我只看到 org.freedesktop。并且问自己这与蓝牙有什么关系?

Oct  3 10:58:14 webv2 lightdm: pam_unix(lightdm-autologin:session): session closed for user pi
Oct  3 10:58:26 webv2 lightdm: pam_unix(lightdm-autologin:session): session opened for user pi(uid=1000) by (uid=0)
Oct  3 10:58:27 webv2 lightdm: pam_unix(lightdm-autologin:session): session opened for user pi(uid=1000) by (uid=0)

4 ) 轻量显示管理器。是因为我为 pi 安装了普通桌面 GUI 吗?我也可以通过 vnc 加入我的 pi,但我并不经常使用它,因为我几乎都是通过 ssh。那么他是否会自动将我登录到桌面?

Oct  3 10:58:58 webv2 login[722]: pam_unix(login:session): session opened for user pi(uid=1000) by LOGIN(uid=0)

5) 我对该消息存在的问题是,它与其他登录消息不同,这有什么可怕的吗?

谢谢你的帮助

答案1

这有点取决于(特定的分布和您安装的应用程序)哪些事件被记录到/var/log/auth.log

默认情况下:应用程序/系统组件本身标记的所有事件系统日志设施 auth和/或authpriv,无论系统日志“安全级别”或者“严重性” 事件的。

在大多数系统上,这意味着日志中的大多数(如果不是全部)消息都是信息性的,大多是无害的,而且肯定不是重要的警告或紧急事件。


Oct  3 05:00:01 webv2 CRON[25757]: pam_unix(cron:session): session opened for user www-data(uid=33) by (uid=0)
Oct  3 05:00:01 webv2 CRON[25757]: pam_unix(cron:session): session closed for user www-data

这是因为我在/etc/sudoers允许 www-data 启动文件中有一些条目,还是我错了?

这些是您的 cron 守护程序生成的安全事件,它们简化了意味着以有效用户 ID“www-data”运行的 cron 作业已启动并完成。

它们仅供参考。


Oct  3 08:23:30 webv2 PackageKit: uid 1000 is trying to obtain org.freedesktop.packagekit.system-sources-refresh auth (only_trusted:0)
Oct  3 08:23:30 webv2 PackageKit: uid 1000 obtained auth for org.freedesktop.packagekit.system-sources-refresh
Oct  3 10:58:14 webv2 polkitd(authority=local): Unregistered Authentication Agent for unix-session:1 (system bus name :1.26, object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale de_AT.UTF-8) (disconnected from bus)
Oct  3 10:58:36 webv2 polkitd(authority=local): Registered Authentication Agent for unix-session:1 (system bus name :1.28 [lxpolkit], object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale de_AT.UTF-8)

那个“未注册的身份验证代理”和“已注册的身份验证代理”让我感觉不太舒服。

波尔基特polkitd (原名 PolicyKit)是 Linux 中用于控制系统级权限的组件。身份验证辅助程序“身份验证代理”在经过身份验证的会话开始时启动(“注册”),并在会话结束时停止(“取消注册”)。

这些是动词,注册,取消注册,而不是暗示(不)合法,(不)信任等的形容词。

也仅提供信息消息。


Oct  3 10:58:58 webv2 login[722]: pam_unix(login:session): session opened for user pi(uid=1000) by LOGIN(uid=0)

我对该消息存在的问题是,它与其他登录消息不同,它并不典型。这有什么可怕的吗?

该消息基本上表明已为用户 ID“pi”启动了登录会话。

这是否出乎意料,完全取决于您创建和使用的用户 ID...pi不过,Raspian 和其他 Raspberry 特定发行版都使用该用户 ID 作为默认用户。

再次纯粹是信息性的,除非它涉及不应该登录的服务帐户用户。

相关内容