Forum Linux.redhat Ouverture de session runuser

Posté par . Licence CC by-sa
Tags : aucun
1
1
août
2013

Bonjour à tous,

Je viens poster un message sur ce forum car je n'arrive pas à identifier une ligne dans le fichier /var/log/secure de mon serveur Linux RedHat.

J'ai installé récemment "Fail2Ban" sur mon serveur Linux pour limiter au maximum les tentatives de connexions en ssh.

Ce matin, Fail2ban était désactivé. Alors que je ne l'ai pas arrêté.
J'ai donc épluché le fichier /var/log/secure et j'ai trouvé quelques suspectes.
J'aimerai savoir si vous savez en quoi correspondent ces lignes. Les voici :

Jul 31 18:43:18 monserveur login: pam_unix(login:session): session closed for user root
Jul 31 18:43:32 monserveur runuser: pam_unix(runuser:session): session opened for user qpidd by (uid=0)
Jul 31 18:43:32 monserveur runuser: pam_unix(runuser:session): session closed for user qpidd
Jul 31 18:43:34 monserveur sshd[1088]: Received signal 15; terminating.
Jul 31 18:56:02 monserveur sshd[1026]: Server listening on 0.0.0.0 port 22.
Jul 31 18:56:02 monserveur sshd[1026]: Server listening on :: port 22.
Jul 31 18:56:07 monserveur runuser: pam_unix(runuser:session): session opened for user qpidd by (uid=0)
Jul 31 18:56:07 monserveur runuser: pam_unix(runuser:session): session closed for user qpidd
Jul 31 18:56:07 monserveur runuser: pam_unix(runuser:session): session opened for user qpidd by (uid=0)
Jul 31 18:56:07 monserveur runuser: pam_unix(runuser:session): session closed for user qpidd
Jul 31 18:56:07 monserveur runuser: pam_unix(runuser-l:session): session opened for user qpidd by (uid=0)
Jul 31 18:56:07 monserveur runuser: pam_unix(runuser-l:session): session closed for user qpidd

Merci d'avance de vos réponses et de votre aide.

Yohan

  • # login ou runuser

    Posté par . Évalué à 2.

    de ce que je comprend,
    login:session, c'est une personne qui se connecte (avec un sudo aussi)
    et le
    runuser:session, ce serait un programme suid

    à faire confirmer

  • # Qpid

    Posté par . Évalué à 0.

    Bonjour,

    Je ne vois rien de "spécial".
    1. root ferme sa session à 18:43:18
    2. Le démon ssh s'arrête à 18:43:34 car il a reçu un signal STOP (signal 15)
    Y a-t-il eu un reboot initié juste avant?
    3. Le démon ssh démarre à 18:56:02
    4. Les runuser sont liés au compte qpidd utilisé pour le Qpid messaging d'apache. runuser est plus "light"que su, mais ne peut être lancé que par root (d'où le uid=0 dans le fichier de log)

    Pour le fail2ban,y a-t-il un logrotate qui éventuellement ferait un stop/restart?

    • [^] # Re: Qpid

      Posté par . Évalué à 0.

      Merci pour les réponses et les précisions.

      Ce qui est étrange c'est que je n'ai pas lancé la commande rebboot mais que le serveur à tout de même redémarré et c'est pour cela que fail2ban s'est arrêté tout comme le démon ssh.

      A quoi sert Qpid d'Apache ?

      Merci.

      Yohan

      • [^] # Re: Qpid

        Posté par . Évalué à 0.

        Reboot intempestif … je suggère de faire le tour de tous les autres logs et plus particulièrement entre la fin de la session de l'utilisateur root et le moment où le démon ssh annonce son arrêt.

        Qpid apache est un middleware orienté message:
        MOM Wikipedia
        Qpid apache

        Cela me semble tout de même étrange d'avoir Qpid installé sans le savoir, à moins que cela ne soit une dépendance pour une application tierce.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.