Ich habe fünf CentOS 6-Linux-Systeme im Einsatz und ein ziemlich seltsames Problem ist bei meiner Benutzer-ID auf allen Linux-Systemen aufgetreten ... Dies ist ein Beispiel für das Problem bei Einträgen, die ich mit Ausnahme des last
Befehls ausgeführt habe. .
mpenning pts/19 Fri Nov 16 10:32 - 10:35 (00:03)
mpenning pts/17 Fri Nov 16 10:21 - 10:42 (00:21)
bill pts/15 sol-bill.local Fri Nov 16 10:19 - 10:36 (00:16)
mpenning pts/1 192.0.2.91 Fri Nov 16 10:17 - 10:49 (12+00:31)
kkim14 pts/14 192.0.2.225 Thu Nov 15 18:02 - 15:17 (4+21:15)
gduarte pts/10 192.0.2.135 Thu Nov 15 12:33 - 08:10 (11+19:36)
gduarte pts/9 192.0.2.135 Thu Nov 15 12:31 - 08:10 (11+19:38)
kkim14 pts/0 :0.0 Thu Nov 15 12:27 - 15:17 (5+02:49)
gduarte pts/6 192.0.2.135 Thu Nov 15 11:44 - 08:10 (11+20:25)
kkim14 pts/13 192.0.2.225 Thu Nov 15 09:56 - 15:17 (5+05:20)
kkim14 pts/12 192.0.2.225 Thu Nov 15 08:28 - 15:17 (5+06:49)
kkim14 pts/11 192.0.2.225 Thu Nov 15 08:26 - 15:17 (5+06:50)
dspencer pts/8 192.0.2.130 Wed Nov 14 18:24 still logged in
mpenning pts/18 alpha-console-1. Mon Nov 12 14:41 - 14:46 (00:04)
Oben sehen Sie zwei meiner PTS-Anmeldeeinträge, denen keine Quell-IP-Adresse zugeordnet ist. Meine CentOS-Maschinen haben bis zu sechs andere Benutzer, die sich die Systeme teilen. Ungefähr 10% meiner Anmeldungen sehen dieses Problem, aber keine anderen Benutzernamen zeigen dieses Verhalten . Es ist kein Eintrag /var/log/secure
für die Einträge ohne Quell-IP-Adresse vorhanden.
Fragen
Angesichts der Art von Skripten, die ich auf diesen Systemen verwende (die einen Großteil unserer Netzwerkinfrastruktur steuern), habe ich ein wenig Angst davor und würde gerne verstehen, was dazu führen würde, dass meine Anmeldungen gelegentlich Quelladressen verpassen.
- Warum funktioniert
last -i
Show0.0.0.0
für pts Zeileneinträge (siehe auch diese Antwort ) - Gibt es irgendetwas (außer böswilligen Aktivitäten), das das Verhalten angemessen erklärt?
- Gibt es außer der Zeitstempelung der Bash-Historie noch andere Möglichkeiten, um das Problem aufzuspüren?
Information
Seit dies passiert ist, habe ich die bash
Verlaufszeitstempelung (dh HISTTIMEFORMAT="%y-%m-%d %T "
in .bash_profile
) aktiviert und auch einige andere Bash-Verlaufs-Hacks hinzugefügt . Dies gibt jedoch keinen Hinweis darauf, was während der vorherigen Vorkommnisse geschehen ist.
Alle Systeme laufen unter CentOS 6.3 ...
[mpenning@typo ~]$ uname -a
Linux typo.local 2.6.32-279.9.1.el6.x86_64 #1 SMP Tue Sep 25 21:43:11 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux
[mpenning@typo ~]$
BEARBEITEN
Wenn ich benutze last -i mpenning
, sehe ich Einträge wie diesen ...
mpenning pts/19 0.0.0.0 Fri Nov 16 10:32 - 10:35 (00:03)
mpenning pts/17 0.0.0.0 Fri Nov 16 10:21 - 10:42 (00:21)
Hinweis für diejenigen, die versuchen zu antworten: Ich habe mich nicht mit dem screen
Befehl oder der GUI angemeldet . Alle meine Logins stammen von SSH; die Prämie Auszeichnung zu erhalten, müssen Sie zitieren maßgebliche Referenzen , die erklären last -i
0.0.0.0
Einträge nur über SSH bezogen.
EDIT 2 (für ewwhite's Fragen)
/etc/resolv.conf
(Beachten Sie, dass ich .local
oben in der last
Ausgabe addrs verwendet habe , um die Informationen meines Unternehmens auszublenden.)
[mpenning@sasmars network]$ cat /etc/resolv.conf
nameserver 192.0.2.40
nameserver 192.0.2.60
domain mycompany.com
search mycompany.com
[mpenning@sasmars network]$
/etc/hosts
info (Beachten Sie, dass diese angepasste Hosts-Datei nur auf einem der Computer vorhanden ist, auf denen diese Probleme auftreten.)
[mpenning@sasmars network]$ cat /etc/hosts
127.0.0.1 localhost.localdomain localhost
192.0.2.44 sasmars.mycompany.com sasmars
::1 localhost6.localdomain6 localhost6
## Temporary kludge until I add reverse hostname mappings...
## Firewalls
192.0.2.254 a2-inet-fw1
192.0.2.253 a2-inet-fw2
192.0.2.254 a2-wan-fw1
192.0.2.253 a2-wan-fw2
192.0.2.201 a2-fab-fw1
192.0.2.202 a2-fab-fw2
192.0.2.203 t1-eds-fw1
192.0.2.42 sasvpn
192.0.2.246 sasasa1
192.0.2.10 sasoutfw1
## Wireless
192.0.2.6 saswcs1
192.0.2.2 l2wlc3
192.0.2.4 l2wlc4
192.0.2.12 f2wlc5
192.0.2.16 f2wlc6
192.0.2.14 f2wlc1
192.0.2.8 f2wlc2
[mpenning@sasmars network]$
sftp
Ausgabe von /var/log/secure
*
Dec 26 10:36:37 sasmars sshd[26016]: pam_sm_authenticate: called (pam_tacplus v1.3.7)
Dec 26 10:36:37 sasmars sshd[26016]: pam_sm_authenticate: user [mpenning] obtained
Dec 26 10:36:37 sasmars sshd[26016]: tacacs_get_password: called
Dec 26 10:36:37 sasmars sshd[26016]: tacacs_get_password: obtained password
Dec 26 10:36:37 sasmars sshd[26016]: pam_sm_authenticate: password obtained
Dec 26 10:36:37 sasmars sshd[26016]: pam_sm_authenticate: tty [ssh] obtained
Dec 26 10:36:37 sasmars sshd[26016]: pam_sm_authenticate: rhost [192.0.2.91] obtained
Dec 26 10:36:37 sasmars sshd[26016]: pam_sm_authenticate: trying srv 0
Dec 26 10:36:38 sasmars sshd[26016]: Accepted password for mpenning from 192.0.2.91 port 55118 ssh2
Dec 26 10:36:38 sasmars sshd[26016]: pam_sm_setcred: called (pam_tacplus v1.3.7)
Dec 26 10:36:38 sasmars sshd[26016]: pam_unix(sshd:session): session opened for user mpenning by (uid=0)
Dec 26 10:36:38 sasmars sshd[26018]: pam_sm_setcred: called (pam_tacplus v1.3.7)
Dec 26 10:36:38 sasmars sshd[26018]: subsystem request for sftp
Dec 26 10:37:20 sasmars sshd[26016]: pam_unix(sshd:session): session closed for user mpenning
Dec 26 10:37:20 sasmars sshd[26016]: pam_sm_setcred: called (pam_tacplus v1.3.7)
ENDGÜLTIGE ENTSCHLIESSUNG
Siehe meine Antwort unten
last -i mpenning
die Leerzeichen?