/var/log/wtmp ログファイルに関連する異常な動作について質問があります。
Ubuntu 14.04.5 LTS Minimal Serverがインストールされ、しばらく実行されるサーバーがあります。ある時点で、デフォルトのオペレーティングシステムを再インストールし、CentOS Linuxバージョン7.8.2003の最小サーバーインストールに変更することにしました。インストールが完了して確認されました。すべてがうまくいきます。しかし、コマンドを出すときに非常に奇妙なことが見つかりました。
last
ボックス検証が成功したことが確認されますCentOSを使用してサーバーを再インストールする前に!これがどのように可能ですか?認証に使用されたIPが有効で予想されます!しかし/var/log/wtmp、CentOSをインストールした後、この情報がIPにどのように追加されるのか疑問に思います。
だから私はutmpdumpを使ってログを詳しく調べ始めました。
utmpdump < /var/log/wtmp
一部の有効なログには、次の内容が表示されます。
[7] [123933] [ts/6] [user1 ] [pts/6 ] [ ] [192.168.74.2 ] [Wed Oct 07 00:34:20 2020 ]
[8] [123933] [ ] [ ] [pts/6 ] [ ] [0.0.0.0 ] [Wed Oct 07 02:45:41 2020 ]
[8] [120363] [ ] [ ] [pts/5 ] [ ] [0.0.0.0 ] [Wed Oct 07 03:30:31 2020 ]
最初は高度なプロセス123933と120363を見つけ、すぐに/ proc /とps auxwfを探し始めました。
最後のコマンド出力には、最後の2つの項目は表示されません。。さらに、procから削除されたファイルを指すプロセスが見つかりませんでした!
2行目と3行目は、1行目と同じプロセスID(123933)を共有するため、sshセッションタイムアウトを意味すると思いますが、わかりません。 utmp のマニュアルページによると
タイプ8は「死んだプロセス」
サーバーには、非標準ポートのsshという1つのサービスしか使用できません。証明書による認証のみを許可し、デフォルトでは標準SSH強化ガイドラインに従ってFail2banを設定します。たとえば、AllowUsers、ClientAliveInterval、プロトコル2、ルートログインなし、パスワード認証なしなどは、3.10.0-1127.el7.x86_64カーネルを実行します。 SeLinuxは常に有効になっています。
待機中の生ソケットは表示されません。つまりss -w -a 、空でファイアウォールにはSSH用のオープンTCPポートが1つだけあり、他のポートはありません。 「...」ディレクトリには興味深い点はありません。残りのログは破損していないようです。
これまで説明できないことの1つは、wtmpログファイルです。現在、CentOSにwtmpログがあるように、Centosインストールが一部の不揮発性メモリに保存される可能性がある古いサーバーのwtmpログを読み取り、それを新しいインストールにインポートできる集合体はありますか?CentOSのインストール前に実際に発生する有効な認証、つまりサーバーがCentOSの代わりにUbuntuをオペレーティングシステムとして使用するとき!
インストール中にこの情報がCentOSに送信されるのはなぜですか?
私が考えることができるもう1つの理由は、システムが破損し、誰かがwtmpログファイルをコピー/編集したことです。この場合、サーバーが破損していることです。
wtmpが現在ハードドライブ以外の場所に保存される可能性はありますか?これは、一部の不揮発性メモリまたはデフォルトのCentOS構成であることに似ています。 wtmpに表示されているサーバーの有効なログイン(インストール日より前のタイムスタンプを含む)を解釈するには?