Re: seltsamer Eintrag in auth.log

To: debian-user-german@lists.debian.org
Subject: Re: seltsamer Eintrag in auth.log
From: Peter Funk <pf@artcom-gmbh.de>
Date: Thu, 13 Jan 2011 17:30:38 +0100
Message-id: <[🔎] 20110113163038.GC6649@pfmaster.artcom-gmbh.de>
In-reply-to: <[🔎] 201101131703.12319.eeepc@ro-aising.de>
References: <[🔎] 201101131703.12319.eeepc@ro-aising.de>

Hallo,

Gerhard Brandenburg schrieb am Donnerstag, den 13.01.2011 um 17:03:
> Hallo Liste,
> beim Durchsehen der Logs eines Root-Servers ist mir ein Eintrag im auth.log 
> aufgefallen:
> um 6:25   www su [xxxxx] successful su for nobody by root
> 
> Tante Gurgel hielt sich bedeckt.
> 
> aus dem Text kann ich nichts entnehmen, was ich verstünde:
> root war zu diesem Zeitpunkt nicht am Server aktiv.
> Kann sich jemand über den User nobody Zutritt als root verschafft haben?

Die Meldung bedeutet, dass ein vom Benutzer root (vermutlich durch
cron?) gestartetes Programm mit dem "su nobody" die Superuser-Rechte
abgegeben hat.  Das Programm läuft danach aus Sicherheitsgründen
nur noch mit den Rechten des Benutzers nobody.

> Für Hinweise, auch wo ich was nachlesen könnte, wäre ich dankbar.

http://www.linuxquestions.org/questions/linux-security-4/successful-su-for-nobody-by-root-512285/

Das war übrigens bei mir der erste Treffer bei Google.  
Ist aber natürlich auf Englisch.

Mit freundlichen Grüßen,
Peter Funk
-- 
Peter Funk, home: ✉Oldenburger Str.86, D-27777 Ganderkesee
mobile:+49-179-640-8878 phone:+49-421-20419-0 <http://www.artcom-gmbh.de/>
office: ArtCom GmbH, ✉Haferwende 2, D-28357 Bremen, Germany

Reply to:

Follow-Ups:
- Re: seltsamer Eintrag in auth.log
  - From: Gerhard Brandenburg <eeepc@ro-aising.de>

References:
- seltsamer EIntrag in auth.log
  - From: Gerhard Brandenburg <eeepc@ro-aising.de>

Prev by Date: Re: seltsamer EIntrag in auth.log
Next by Date: Re: seltsamer EIntrag in auth.log
Previous by thread: Re: seltsamer EIntrag in auth.log
Next by thread: Re: seltsamer Eintrag in auth.log
Index(es):
- Date
- Thread