나는 5 개의 CentOS 6 리눅스 시스템을 사용하고 있는데, 내가 가지고있는 모든 리눅스 시스템에서 내 사용자 아이디 로만 발생하는 것처럼 보이는 다소 이상한 문제가 발생했다 . 이것은 last
명령 에서 제외 된 엔트리의 문제의 예이다 . .
mpenning pts/19 Fri Nov 16 10:32 - 10:35 (00:03)
mpenning pts/17 Fri Nov 16 10:21 - 10:42 (00:21)
bill pts/15 sol-bill.local Fri Nov 16 10:19 - 10:36 (00:16)
mpenning pts/1 192.0.2.91 Fri Nov 16 10:17 - 10:49 (12+00:31)
kkim14 pts/14 192.0.2.225 Thu Nov 15 18:02 - 15:17 (4+21:15)
gduarte pts/10 192.0.2.135 Thu Nov 15 12:33 - 08:10 (11+19:36)
gduarte pts/9 192.0.2.135 Thu Nov 15 12:31 - 08:10 (11+19:38)
kkim14 pts/0 :0.0 Thu Nov 15 12:27 - 15:17 (5+02:49)
gduarte pts/6 192.0.2.135 Thu Nov 15 11:44 - 08:10 (11+20:25)
kkim14 pts/13 192.0.2.225 Thu Nov 15 09:56 - 15:17 (5+05:20)
kkim14 pts/12 192.0.2.225 Thu Nov 15 08:28 - 15:17 (5+06:49)
kkim14 pts/11 192.0.2.225 Thu Nov 15 08:26 - 15:17 (5+06:50)
dspencer pts/8 192.0.2.130 Wed Nov 14 18:24 still logged in
mpenning pts/18 alpha-console-1. Mon Nov 12 14:41 - 14:46 (00:04)
위의 pts 로그인 항목 중 두 개와 연관된 소스 IP 주소가없는 것을 볼 수 있습니다. 내 CentOS 시스템에는 시스템을 공유하는 최대 6 명의 다른 사용자가 있습니다. 내 로그인의 약 10 %에서이 문제가 발생하지만 다른 사용자 이름으로는이 동작이 나타나지 않습니다 . /var/log/secure
소스 IP 주소 가없는 항목에는 항목이 없습니다 .
질문
이러한 시스템에 많은 종류의 네트워크 인프라를 제어하는 일종의 스크립트를 감안할 때, 나는 이것에 약간 짜증이 나서 로그인이 때때로 소스 주소를 그리워하는 원인을 이해하고 싶습니다.
- pts 행 항목에
last -i
표시0.0.0.0
되는 이유 ( 이 답변 참조 ) - 행동을 합리적으로 설명 할 수있는 (악의적 인 활동 이외의) 것이 있습니까?
- 배쉬 히스토리 타임 스탬프 외에, 이슈를 추적하기 위해 할 수있는 다른 것들이 있습니까?
정보 제공
이 시작 일어나는 때문에, 나는 활성화 bash
역사의 타임 스탬프 (예 HISTTIMEFORMAT="%y-%m-%d %T "
에서 .bash_profile
) 또한 추가 된 몇 가지 다른 bash는 역사 해킹 ; 그러나 이전 사건에서 일어난 일에 대한 단서를 제공하지는 않습니다.
모든 시스템은 CentOS 6.3을 실행합니다 ...
[mpenning@typo ~]$ uname -a
Linux typo.local 2.6.32-279.9.1.el6.x86_64 #1 SMP Tue Sep 25 21:43:11 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux
[mpenning@typo ~]$
편집하다
를 사용하면 다음 last -i mpenning
과 같은 항목이 표시됩니다.
mpenning pts/19 0.0.0.0 Fri Nov 16 10:32 - 10:35 (00:03)
mpenning pts/17 0.0.0.0 Fri Nov 16 10:21 - 10:42 (00:21)
답변하려는 사람들을위한 참고 사항 : 나는 screen
명령이나 GUI로 로그인하지 않았습니다 . 모든 로그인은 SSH에서 온 것입니다. 현상금 상을 수상하기 위해, 당신은 인용한다 권위 Explain 스에 대한 참조 last -i
0.0.0.0
만 SSH를 통해 공급 항목을.
편집 2 (ewwhite의 질문)
/etc/resolv.conf
( 회사 정보를 숨기기 위해 위의 출력 .local
에서 addrs를 사용했습니다 last
)
[mpenning@sasmars network]$ cat /etc/resolv.conf
nameserver 192.0.2.40
nameserver 192.0.2.60
domain mycompany.com
search mycompany.com
[mpenning@sasmars network]$
/etc/hosts
info (이 사용자 지정 호스트 파일은 이러한 문제가있는 시스템 중 하나에 만 존재 함)
[mpenning@sasmars network]$ cat /etc/hosts
127.0.0.1 localhost.localdomain localhost
192.0.2.44 sasmars.mycompany.com sasmars
::1 localhost6.localdomain6 localhost6
## Temporary kludge until I add reverse hostname mappings...
## Firewalls
192.0.2.254 a2-inet-fw1
192.0.2.253 a2-inet-fw2
192.0.2.254 a2-wan-fw1
192.0.2.253 a2-wan-fw2
192.0.2.201 a2-fab-fw1
192.0.2.202 a2-fab-fw2
192.0.2.203 t1-eds-fw1
192.0.2.42 sasvpn
192.0.2.246 sasasa1
192.0.2.10 sasoutfw1
## Wireless
192.0.2.6 saswcs1
192.0.2.2 l2wlc3
192.0.2.4 l2wlc4
192.0.2.12 f2wlc5
192.0.2.16 f2wlc6
192.0.2.14 f2wlc1
192.0.2.8 f2wlc2
[mpenning@sasmars network]$
sftp
/var/log/secure
* 에서 출력
Dec 26 10:36:37 sasmars sshd[26016]: pam_sm_authenticate: called (pam_tacplus v1.3.7)
Dec 26 10:36:37 sasmars sshd[26016]: pam_sm_authenticate: user [mpenning] obtained
Dec 26 10:36:37 sasmars sshd[26016]: tacacs_get_password: called
Dec 26 10:36:37 sasmars sshd[26016]: tacacs_get_password: obtained password
Dec 26 10:36:37 sasmars sshd[26016]: pam_sm_authenticate: password obtained
Dec 26 10:36:37 sasmars sshd[26016]: pam_sm_authenticate: tty [ssh] obtained
Dec 26 10:36:37 sasmars sshd[26016]: pam_sm_authenticate: rhost [192.0.2.91] obtained
Dec 26 10:36:37 sasmars sshd[26016]: pam_sm_authenticate: trying srv 0
Dec 26 10:36:38 sasmars sshd[26016]: Accepted password for mpenning from 192.0.2.91 port 55118 ssh2
Dec 26 10:36:38 sasmars sshd[26016]: pam_sm_setcred: called (pam_tacplus v1.3.7)
Dec 26 10:36:38 sasmars sshd[26016]: pam_unix(sshd:session): session opened for user mpenning by (uid=0)
Dec 26 10:36:38 sasmars sshd[26018]: pam_sm_setcred: called (pam_tacplus v1.3.7)
Dec 26 10:36:38 sasmars sshd[26018]: subsystem request for sftp
Dec 26 10:37:20 sasmars sshd[26016]: pam_unix(sshd:session): session closed for user mpenning
Dec 26 10:37:20 sasmars sshd[26016]: pam_sm_setcred: called (pam_tacplus v1.3.7)
최종 해상도
아래 내 답변을 참조하십시오
last -i mpenning
공백 이 표시됩니까?