Re: Log (root) LIST (nobody) de logcheck

To: debian-user-french@lists.debian.org
Subject: Re: Log (root) LIST (nobody) de logcheck
From: Julien Valroff <julien@kirya.net>
Date: Sun, 15 Apr 2007 16:54:33 +0200
Message-id: <[🔎] 1176648873.3883.8.camel@hathor.kirya.net>
In-reply-to: <200704151329.25063.smog1@free.fr>
References: <200704151329.25063.smog1@free.fr>

Le dimanche 15 avril 2007 à 13:29 +0200, Sil a écrit :
> Salut la liste,
> 
> Depuis mon passage à Etch j'ai ce message qui revient dans mes logs (et donc dans mes mails) :
> Apr 15 06:25:06 localhost /usr/bin/crontab[21834]: (root) LIST (nobody)
> 
> J'ai google-isé sans succès, j'ai regardé dan man crontab et je n'ai rien trouvé.
[...]

C'est chkrootkit qui vérifie que l'utilisateur nobody n'a pas de tâches
enregistrées dans son cron.
cf ligne 1581 de /usr/sbin/chkrootkit

> Est-il sans intérêt ? Est-ce un message d'erreur ?
logcheck te signale juste que quelqu'un (root) a listé le crontab d'un
utilisateur (nobody).

Il y a une règle qui évite de recevoir ce genre de message normalement
(/etc/logcheck/ignore.d.server/cron) :
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ crontab\[[0-9]+\]: \([[:alnum:]-]+\) LIST \([[:alnum:]-]+\)$

le problème est qu'elle ne contient pas le path complet (/usr/bin/)
Tu peux donc la modifier pour quelque chose comme :
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ [/usr/bin/]+?crontab\[[0-9]+\]: \([[:alnum:]-]+\) LIST \([[:alnum:]-]+\)$

@++
Julien

Reply to:

Prev by Date: Re: enlightenment 17 en paquet debian
Next by Date: Re: etch apache2 ../actions.load: No such file or directory
Previous by thread: Re: enlightenment 17 en paquet debian
Next by thread: apache2 httpd.conf apache2.conf
Index(es):
- Date
- Thread