Re: seltsamer Eintrag in auth.log
Hallo Peter,
Am Donnerstag, 13. Januar 2011 schrieb Peter Funk:
> Hallo,
>
> Gerhard Brandenburg schrieb am Donnerstag, den 13.01.2011 um 17:03:
> > Hallo Liste,
> > beim Durchsehen der Logs eines Root-Servers ist mir ein Eintrag im
> > auth.log aufgefallen:
> > um 6:25 www su [xxxxx] successful su for nobody by root
> >
> > Tante Gurgel hielt sich bedeckt.
> >
> > aus dem Text kann ich nichts entnehmen, was ich verstünde:
> > root war zu diesem Zeitpunkt nicht am Server aktiv.
> > Kann sich jemand über den User nobody Zutritt als root verschafft haben?
>
> Die Meldung bedeutet, dass ein vom Benutzer root (vermutlich durch
> cron?) gestartetes Programm mit dem "su nobody" die Superuser-Rechte
> abgegeben hat. Das Programm läuft danach aus Sicherheitsgründen
> nur noch mit den Rechten des Benutzers nobody.
>
> > Für Hinweise, auch wo ich was nachlesen könnte, wäre ich dankbar.
>
> http://www.linuxquestions.org/questions/linux-security-4/successful-su-for-
>nobody-by-root-512285/
Vielen Dank
>
> Das war übrigens bei mir der erste Treffer bei Google.
Auch bei mir bei genau dieser Phrase /-), ich hatte zusätzliche Stichworte
dabei gehabt, die dann alles ausfilterten
> Ist aber natürlich auf Englisch.
>
> Mit freundlichen Grüßen,
> Peter Funk
> --
> Peter Funk, home: ✉Oldenburger Str.86, D-27777 Ganderkesee
> mobile:+49-179-640-8878 phone:+49-421-20419-0 <http://www.artcom-gmbh.de/>
> office: ArtCom GmbH, ✉Haferwende 2, D-28357 Bremen, Germany
Gruß
Gerhard
Reply to: