Re: Problemas de seguridad
Sylvia Sanchez escribió:
El mié, 17-12-2008 a las 19:22 -0200, Alberto Vicat escribió:
Sylvia Sanchez escribió:
>
> Vamos por partes: Tengo una idea de quiénes pueden ser y no son
> técnicos. Además lo que buscan es información DENTRO de mi
> computadora. No arreglo nada negándole permisos a los usuarios a
> acceder a cd - usb - etc.
Creo que eso te lo decían para evitar que bootearan la PC, pero si ella
está encendida... el problema va por otro lado.
Y el log que encontraste con los MARK... contanos bien qué log es, poné
todo el nombre, y más o menos que otras cosas más hay en él.
Saludos
El log de los MARK es messages. Y los MARK se repiten el Nov 20 y el
Dec 11.
Bueno, esto de MARK ya está aclarado con el link que puso Félix. No es
nada preocupante ni indica que nadie haya andado revolviendo nada en tus
archivos.
En cuanto a las carpetas cron, tanto la hourly como la .d tienen 0
elemento dentro de ellas. Encontré que esos cron que abren y cierran
sesión en un segundo se repiten en otros días incluyendo hoy cuando la
tenía funcionando en mi usuario. ¿Qué son? ¿De dónde salen? ¿Qué
puedo hacerles? ¡No los quiero! Salvo que sean necesarios....
Salut y Gracias
Sylvia
Pues esta parte me resulta muy difícil de creer. Cron no está haciendo
las cosas porque se le ocurre. Lo hace cada hora, por eso te dije que
miraras en /etc/cron.hourly. Pero también podía estar (la indicación
para cron) en /etc/cron.d, como en el caso de mi sistema, donde está
esto en un archivo llamado php5:
# /etc/cron.d/php5: crontab fragment for php5
# This purges session files older than X, where X is defined in seconds
# as the largest value of session.gc_maxfiletime from all your php.ini
# files, or 24 minutes if not defined. See /usr/lib/php5/maxfiletime
# Look for and purge old sessions every 30 minutes
09,39 * * * * root [ -d /var/lib/php5 ] && find /var/lib/php5/
-type f -cmin +$(/usr/lib/php5/maxfiletime) -printo | xargs -r -0 rm
Aquí la única línea que hace algo es la que no empieza con #, y le dice
a cron que a los 09 y a los 39 minutos de cada hora haga (como root)
todo ese jeroglífico que sigue.
En tu sistema HAY algo similar, con la diferencia de que lo hace cada
hora y no cada media hora como en el mío.
Repito: cron no hace lo que se le antoja sino lo que le indican los
archivos en esos directorios. No me entra que estén vacíos, además
debería haber un archivo ".placeholder" de 102 bytes de tamaño en cada
uno de ellos.
Creo que has mirado con un navegador gráfico (como Konqueror o Nautilus)
sin fijarte que esté mostrando los archivos ocultos. Además tenés que
hacerlo como root. Lo más práctico es abrir una consola de root y
ejecutar el mc.
Y esto es lo que traduce Thunderbird del archivo ese:
# / Etc/cron.d/php5: crontab fragmento de php5,
# Esta sesión purga archivos de más de X, donde X se define en segundos,
# como el mayor valor de todos los session.gc_maxfiletime de su php.ini,
# archivos, o 24 minutos si no se define. Vea /usr/lib/php5/maxfiletime
------------------------------------------------------------
Bueno Sylvia, en definitiva, que los MARK y los log de cron no indican
nada anormal en tu PC.
Esto no quiere decir que no lo haya, pero no son esos logs los que
indican nada sospechoso.
El que te va a decir bien cuando se inicia y cierra cada sesión, y cual
ha sido el usuario, es /var/log/auth.log.
Pero no te dirá lo que ocurre si vos te vas y dejás la PC encendida con
una sesión en marcha.
Si querés hacer eso por no bancarte todo el inicio y el cierre, por lo
menos cerrá la sesión: clic derecho en el escritorio -> Terminar
"Fulano"... -> Terminar sesión actual, y con eso tu máquina se quedará
en la pantalla de logueo para iniciar sesión, y quien no sepa la
contraseña necesaria no podrá iniciar sesión. Y si la inicia quedará
registrada esa sesión en auth.log.
Otra no se me ocurre.
¡Suerte!
Saludos
Reply to: