Saya memiliki lima sistem linux CentOS 6 di tempat kerja, dan mengalami masalah yang agak aneh yang sepertinya hanya terjadi dengan userid saya di semua sistem linux yang saya miliki ... Ini adalah contoh masalah dari entri yang saya pengecualian dari last
perintah .. .
mpenning pts/19 Fri Nov 16 10:32 - 10:35 (00:03)
mpenning pts/17 Fri Nov 16 10:21 - 10:42 (00:21)
bill pts/15 sol-bill.local Fri Nov 16 10:19 - 10:36 (00:16)
mpenning pts/1 192.0.2.91 Fri Nov 16 10:17 - 10:49 (12+00:31)
kkim14 pts/14 192.0.2.225 Thu Nov 15 18:02 - 15:17 (4+21:15)
gduarte pts/10 192.0.2.135 Thu Nov 15 12:33 - 08:10 (11+19:36)
gduarte pts/9 192.0.2.135 Thu Nov 15 12:31 - 08:10 (11+19:38)
kkim14 pts/0 :0.0 Thu Nov 15 12:27 - 15:17 (5+02:49)
gduarte pts/6 192.0.2.135 Thu Nov 15 11:44 - 08:10 (11+20:25)
kkim14 pts/13 192.0.2.225 Thu Nov 15 09:56 - 15:17 (5+05:20)
kkim14 pts/12 192.0.2.225 Thu Nov 15 08:28 - 15:17 (5+06:49)
kkim14 pts/11 192.0.2.225 Thu Nov 15 08:26 - 15:17 (5+06:50)
dspencer pts/8 192.0.2.130 Wed Nov 14 18:24 still logged in
mpenning pts/18 alpha-console-1. Mon Nov 12 14:41 - 14:46 (00:04)
Anda dapat melihat dua entri login Poin saya di atas yang tidak memiliki alamat IP sumber yang terkait dengannya. Mesin CentOS saya memiliki sebanyak enam pengguna lain yang berbagi sistem. Sekitar 10% dari login saya melihat masalah ini, tetapi tidak ada nama pengguna lain yang menunjukkan perilaku ini . Tidak ada entri /var/log/secure
untuk entri tanpa alamat IP sumber.
Pertanyaan
Mengingat jenis skrip yang saya simpan pada sistem ini (yang mengendalikan sebagian besar infrastruktur jaringan kami), saya agak takut dengan ini dan ingin memahami apa yang menyebabkan login saya kadang-kadang kehilangan alamat sumber.
- Mengapa
last -i
ditampilkan0.0.0.0
untuk entri baris Poin (lihat juga jawaban ini ) - Adakah sesuatu (selain aktivitas jahat) yang dapat menjelaskan perilaku tersebut secara wajar?
- Selain cap waktu bash history, apakah ada hal lain yang dapat saya lakukan untuk melacak masalah ini?
Informasi
Sejak ini mulai terjadi, saya mengaktifkan bash
cap waktu sejarah (yaitu HISTTIMEFORMAT="%y-%m-%d %T "
di .bash_profile
) dan juga menambahkan beberapa hack sejarah bash ; Namun, itu tidak memberikan petunjuk tentang apa yang terjadi selama kejadian sebelumnya.
Semua sistem menjalankan CentOS 6.3 ...
[mpenning@typo ~]$ uname -a
Linux typo.local 2.6.32-279.9.1.el6.x86_64 #1 SMP Tue Sep 25 21:43:11 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux
[mpenning@typo ~]$
EDIT
Jika saya menggunakan last -i mpenning
, saya melihat entri seperti ini ...
mpenning pts/19 0.0.0.0 Fri Nov 16 10:32 - 10:35 (00:03)
mpenning pts/17 0.0.0.0 Fri Nov 16 10:21 - 10:42 (00:21)
Catatan untuk mereka yang mencoba menjawab: Saya belum masuk dengan screen
perintah atau GUI . Semua login saya berasal dari SSH; untuk menerima hadiah karunia, Anda harus mengutip referensi otoritatif untuk menjelaskan last -i
0.0.0.0
entri yang bersumber hanya melalui SSH.
EDIT 2 (untuk pertanyaan ewwhite)
/etc/resolv.conf
(perhatikan bahwa saya menggunakan .local
add-on dalam last
output di atas untuk menyembunyikan info perusahaan saya)
[mpenning@sasmars network]$ cat /etc/resolv.conf
nameserver 192.0.2.40
nameserver 192.0.2.60
domain mycompany.com
search mycompany.com
[mpenning@sasmars network]$
/etc/hosts
info (perhatikan bahwa file host khusus ini hanya ada di salah satu mesin yang memiliki masalah ini)
[mpenning@sasmars network]$ cat /etc/hosts
127.0.0.1 localhost.localdomain localhost
192.0.2.44 sasmars.mycompany.com sasmars
::1 localhost6.localdomain6 localhost6
## Temporary kludge until I add reverse hostname mappings...
## Firewalls
192.0.2.254 a2-inet-fw1
192.0.2.253 a2-inet-fw2
192.0.2.254 a2-wan-fw1
192.0.2.253 a2-wan-fw2
192.0.2.201 a2-fab-fw1
192.0.2.202 a2-fab-fw2
192.0.2.203 t1-eds-fw1
192.0.2.42 sasvpn
192.0.2.246 sasasa1
192.0.2.10 sasoutfw1
## Wireless
192.0.2.6 saswcs1
192.0.2.2 l2wlc3
192.0.2.4 l2wlc4
192.0.2.12 f2wlc5
192.0.2.16 f2wlc6
192.0.2.14 f2wlc1
192.0.2.8 f2wlc2
[mpenning@sasmars network]$
sftp
Output dari /var/log/secure
*
Dec 26 10:36:37 sasmars sshd[26016]: pam_sm_authenticate: called (pam_tacplus v1.3.7)
Dec 26 10:36:37 sasmars sshd[26016]: pam_sm_authenticate: user [mpenning] obtained
Dec 26 10:36:37 sasmars sshd[26016]: tacacs_get_password: called
Dec 26 10:36:37 sasmars sshd[26016]: tacacs_get_password: obtained password
Dec 26 10:36:37 sasmars sshd[26016]: pam_sm_authenticate: password obtained
Dec 26 10:36:37 sasmars sshd[26016]: pam_sm_authenticate: tty [ssh] obtained
Dec 26 10:36:37 sasmars sshd[26016]: pam_sm_authenticate: rhost [192.0.2.91] obtained
Dec 26 10:36:37 sasmars sshd[26016]: pam_sm_authenticate: trying srv 0
Dec 26 10:36:38 sasmars sshd[26016]: Accepted password for mpenning from 192.0.2.91 port 55118 ssh2
Dec 26 10:36:38 sasmars sshd[26016]: pam_sm_setcred: called (pam_tacplus v1.3.7)
Dec 26 10:36:38 sasmars sshd[26016]: pam_unix(sshd:session): session opened for user mpenning by (uid=0)
Dec 26 10:36:38 sasmars sshd[26018]: pam_sm_setcred: called (pam_tacplus v1.3.7)
Dec 26 10:36:38 sasmars sshd[26018]: subsystem request for sftp
Dec 26 10:37:20 sasmars sshd[26016]: pam_unix(sshd:session): session closed for user mpenning
Dec 26 10:37:20 sasmars sshd[26016]: pam_sm_setcred: called (pam_tacplus v1.3.7)
last -i mpenning
show the blanks?Jawaban:
script
perbedaan perilaku antara RedHat dan DebianPerpustakaan Tertaut
CentOS 6.3 - skrip (util-linux-ng 2.17.2)
Ubuntu 12.04 - skrip (util-linux 2.20.1)
PTY
Berdasarkan kode sumber hulu ,
script
dari kedua versi membuka pty baru. Berikut ini adalah tes.Ubuntu 12.04
Ubuntu 12,04
script
memang membuka Poin baru (2). Itu hanya tidak memperbarui/var/log/wtmp
.CentOS 6
Saya melewatkan tes karena kita sudah tahu yang
script
membuka pty dan mendaftar dengan wtmp.libutemper
Jadi perbedaan utama tampaknya adalah library tambahan (
libutempter.so.0
) yangscript
terhubung dengan CentOS .Uji dengan Ubuntu 12.04
Kompilasi
script
dengan libutempterPengujian
Sebelum berlari
script
Dalam
script
Setelah
script
akhirAkar penyebab nama host emtpy
Dan ya,
script.c
buatwtmp
entri dengan nama host kosong. Lihatlah blok kode berikut diutil-linux-2.20.1/term-utils/script.c
Baris: 245-247Berdasarkan
libutempter-1.1.5/utempter.h
Jadi
script.c
sebenarnya memberikan nama host kosong ke dalamnyautempter_add_record
.RedHat Backport
Yang menarik, hulu
util-linux-ng-2.17.2
sebenarnya tidak mendukunglibutempter
. Tampaknya Redhat memutuskan untuk menambahkan dukungan itu kembali.Perintah di atas mengembalikan hasil kosong.
Kesimpulan
Jadi perbedaan perilaku antara kedua distro bukanlah bug, tetapi pilihan. RedHat memutuskan untuk mendukung fitur itu, sementara Debian melewatkannya.
sumber
coreutils
versi rpm yang digunakan CentOS 5? Saya harus memeriksa kode sumbernya.libutempter
tidak terkait dalam EL4 (melaluildd
), tetapi yang terkait dalam EL5 dan EL6script
perintah. Perubahan fitur ini kemungkinan telah berlaku untuk sistem seperti Red Hat sejak diperkenalkannya RHEL 5. 2007coreutils
pada EL4 adalah versi 5.2.1. Pada EL5 itu versi 5.97.script
ada di util-linux.Ini terlihat sangat membingungkan bagi saya. Entah itu harus menggunakan nama DNS atau alamat IP. Saya memeriksa
last.c
file juga tetapi saya masih tidak dapat menemukan mengapa tidak menunjukkan apa-apa. Mungkin diberi waktu, saya bisa mengetahui bagian tentang 0.0.0.0.Dua variabel global yang digunakan dalam konteks adalah ini.
Jadi, secara teori, harus menggunakan dns atau IP.
Saya akan melihat apakah saya bisa menggali lebih jauh. Tapi apa yang diminta oleh orang kulit putih adalah pertanyaan yang valid.
sumber
Jadi saya menjalankan terakhir di debugger yang diharapkan akan memberi Anda setidaknya beberapa jawaban untuk pertanyaan Anda. Perasaan saya adalah penyebab utama lebih dalam.
Mengapa -i terakhir menunjukkan 0,0.0.0 untuk entri baris Poin
Cara terbaik untuk menjelaskan ini adalah apa yang terjadi ketika Anda tidak melakukannya lulus -i.
Alasannya ada di bagian kode ini
last.c
Keduanya
usedns
danuseip
(menggunakan opsi default) tidak ditandai. Ini menyebabkan logika untuk menyalin keluar dari structp->ut_host
yang menurutman utmp
berisi nama login jarak jauh seperti yang dicatat oleh apa pun yang ditulis ke dalamutmp
.Dalam kasus Anda, nilai di sini adalah nol. Inilah sebabnya saat Anda berlari
last
tidak ada yang muncul untuk Anda.Dalam kasus
last -i
maka dns_lookup dipanggil. Ini akan melewati entri (p-> ut_addr_v6) untuk diselesaikan melalui DNS. Dalam kasus Anda, nilai ini juga mengandung nol.Sebagian besar
dns_lookup
adalah rias jendela dan heusteric. Pada dasarnya yang penting adalah fungsinyagetnameinfo
. Ini adalah panggilan perpustakaan yang dalam hal ini akan mencoba yang terbaik untuk menyelesaikan nilai biner yang disimpan diut_addr_v6
. Ketika entri ini berisi nol (seperti dalam kasus Anda), Anda sebenarnya menyelesaikan ini0.0.0.0
seperti apa yang terjadi dengan Andalast -i
output .Adakah sesuatu (selain aktivitas jahat) yang dapat menjelaskan perilaku tersebut secara wajar?
Yah, itu mungkin bug atau kekhilafan. Its tidak mungkin berbahaya karena tampaknya bodoh untuk meninggalkan setiap jejak sebagai penyerang daripada menghilangkan alamat sumber.
Fokus jawaban sejauh ini mencari di tempat yang salah.
last
hanya membacautmp
atauwtmp
. Namunlast
melakukan yang terbaik dengan data yang dimilikinya.Penyebab utama Anda terletak di suatu tempat dengan cara yang
utmp
sedang ditulis !Sementara beberapa aplikasi langsung menulis ke
utmp
saya kira sumber masalah Anda terletak pada carasshd
menangani manajemen sesi.Selain cap waktu bash history, apakah ada hal lain yang dapat saya lakukan untuk melacak masalah ini?
utmp
biasanya tidak dapat ditulisi dan tidak dimaksudkan untuk menjadi.utmp
ditulis oleh aplikasi yang dirancang untuk login Anda dan mengatur sesi Anda. Dalam kasus Anda itusshd
.Mengapa sshd tidak menangani pengguna Anda dengan benar sangat aneh karena harus menyalin dengan benar pada nama host tempat Anda berasal. Di sinilah upaya debugging mungkin harus difokuskan. Mulailah dengan menambahkan hasil debug sshd ke log Anda dan lihat apakah ada sesuatu yang aneh muncul.
Jika Anda ingin mengatasi masalah (atau, bahkan mungkin menemukan lebih banyak tentang masalah ini) yang dapat Anda gunakan
pam_lastlog
untuk mengelolautmp
dengan menambahkannya ke sesi entri ke /etc/pam.d/sshd.Sebenarnya tidak ada salahnya untuk memeriksa apakah sudah ada - karena
pam_lastlog
berisinohost
opsi yang pasti akan menjelaskan perilaku Anda yang Anda alami.Akhirnya, Anda tidak dapat menggunakan yang terakhir sama sekali.
aulast
melakukan pekerjaan yang sama melalui subsistem audit.Mungkin patut dicoba untuk melihat apakah itu telah berhasil setidaknya menulis alamat yang benar. Jika belum maka masalah Anda harus dengan sshd karena sshd meneruskan nama-nama DNS di sekitar subsistem yang berbeda seperti utmp atau audit.
sumber
pam_lastlog
seperti yang disebutkan di atas?(1) Mendasarkan pada
last
output OPSetelah masuk melalui ssh, seseorang dapat ssh ke localhost dan mendapatkan 0,0.0.0 masuk
last -i
untuk nanti.Berdasarkan empat baris pertama log OP
pts/19
login adalah dalampts/17
periode login.pts/17
masuk ada di dalampts/1
periode login.Untuk kejadian khusus ini, masuk akal untuk menebak bahwa OP ssh dari 192.0.2.91 (
pty/1
), kemudian dalam sesi ssh itu, masuk secara lokal (ssh localhost
) ke server lagi (pts/17
), dan lagi (pts/19
).Silakan periksa apakah tumpang tindih ini terjadi dengan kejadian lain.
Berikut ini dapat membantu menunjukkan penyebabnya
(2) Secnario Tambahan
Skenario 1 - sudo dan terminal
xhost + localhost
su - UserB
atausudo su - UserB
kemudian buka terminal baru (xterm, terminal gnome, dll)UserB
akan ditampilkan sebagai 0.0.0.0 inlast -i
su - UserB
tidak akan mendaftar sebagaiUserB
login terakhir, tetapi membuka terminal akan.Skenario 2 - masuk
sudo login
last
danlast -i
last
tidak menunjukkan nama host atau IP untuklogin session
.last -i
akan IP 0.0.0.0 untuklogin session
.Jawaban Mife sudah menunjukkan blok kode
last.c
. Alasanlast
menampilkan nama host kosong / IP adalah karenaut_host
untuk catatan itu sebenarnya kosong. Untuk struktur wtmp lengkap, lakukanman wtmp
pada sistem linux apa pun.2 skenario di sini menunjukkan bahwa bahkan paket standar, dalam situasi tertentu, membuatnya seperti itu.
(3) Hack Sejarah Bash
Ini hanya akan berfungsi jika sesi digunakan
bash
sebagai shell interaktif..bashrc
dan.bash_profile
hanya digunakan olehbash
.Mereka tidak akan bersumber secara otomatis jika sesi menggunakan shell lain (sh, csh, dll) atau menjalankan program secara langsung, dan tidak akan ada bash history juga.
(4) Proses Akuntansi
Karena OP tidak menyebutkan tentang
secure
file, saya akan berasumsi bahwa itu adalah jalan buntu dan itu sebenarnya memberikan petunjuk sekarang.Jika asumsi berikut ini benar
auth.log (debian) / secure (CentOS) tidak akan membantu. Karena hanya tindakan terkait otentikasi yang dicatat di dalamnya.
wtmp / utmp, dengan keterbatasan dalam struktur datanya, juga merupakan jalan buntu. Tidak ada informasi tentang apa yang membuatnya.
Itu meninggalkan kita dengan satu opsi, proses akuntansi . Ini adalah senjata besar dan harus digunakan dengan hati-hati.
Versi paket psacct harus 6.3.2-56 atau lebih tinggi, sesuai dengan posting ini .
Jika ini akan digunakan, dan
/var/log
memiliki ruang terbatas, ubah file log acct ke direktori (akses hanya root) di bawah/home
, yang biasanya memiliki lebih banyak ruang.Ini benar-benar senjata besar. Dengan tingkat kejadian OP 10%, harus ada hasil dalam seminggu. Jika selama periode itu, entri kosong muncul
last
tetapi tidak ada dari log acct, itu menjadi situasi misteri , dan akan memerlukan beberapa tindakan drastis .Berikut ini adalah contoh output dari
lastcomm
Anda juga dapat menggunakan 'dump-acct' untuk menampilkan info lebih lanjut.
PS1: Saya mencoba membuka beberapa terminal dan sesi ssh. Tidak jelas (atau tidak mudah untuk menunjukkan poin) apa yang membuka Poin baru. Namun, itu menunjukkan semua yang berjalan dalam Poin / Sesi itu.
PS2: Posting blog tentang penggunaan acct oleh Mike.
sumber
ssh localhost
dan periksalast -i
.login locally
, maksud saya lakukanssh localhost
dalam sesi ssh itu. Saya memodifikasi kalimat itu, semoga tidak membingungkan sekarang.Ketika Anda masuk ke suatu Mesin, ini bisa menjadi beberapa entri dalam perintah terakhir.
Entri pertama dengan tty * datang ketika Anda masuk melalui terminal atau konsol dengan menekan CTRL + ALT + F1-6. Cukup jelas dari terminal yang digunakannya.
Entri kedua biasanya muncul ketika Anda masuk ke Mesin dan membuka jendela terminal di GUI. Akan ada entri bahkan jika Anda membuka Tab baru di jendela terminal yang sama.
Jenis Entri Ketiga datang ketika Anda membuka sesi layar setelah masuk ke melalui SSH. Itu juga akan membuat entri di sana dan tanpa alamat IP.
Entri keempat cukup normal yang dipahami semua orang.
Jika Anda melakukannya
last -i
dengan entri berikut, Anda akan melihat sesuatu seperti ini:Saya cukup yakin bahwa kasing Anda berada di salah satu dari 2 kasing, satu dengan Jendela terminal di GUI dan yang lainnya dengan sesi layar.
Semoga ini bisa membantu.
sumber
screen
untuk salah satu0.0.0.0
entri. Saya hanya menggunakan GUI ketika saya menginstal mesin (sekitar Agustus / September). Saya melihat banyak0.0.0.0
entri poin setelah waktu itu.Saya tidak berpikir kita akan berhasil dengan ini tanpa debugging last.c, tapi itu seharusnya tidak terlalu sulit karena mudah dikompilasi ...
Namun satu kemungkinan adalah untuk membuang file / var / log / wtmp menggunakan perintah utmpdump dan melihat pada catatan mentah ini mungkin memberi sedikit cahaya bagi Anda. Jika tidak, silakan kirim beberapa keluaran yang relevan dari
sehingga kami dapat membuat ulang salinan lokal dari wtmp Anda untuk di-debug
sumber
Saya memeriksa 12 server aplikasi berbasis CentOS dan RHEL multi-pengguna. Tidak ada yang memperlihatkan perilaku ini. Tidak ada entri yang hilang di
last
output akan kembali 4-5 minggu.Saya pikir akan penting untuk melihat
/etc/hosts
entri file Anda untuk memastikan itu sesuai dengan format ini .Juga, apa yang Anda lakukan untuk resolusi DNS? Bisakah Anda memposting
/etc/resolv.conf
?Respons lain yang mengindikasikan
0.0.0.0
koneksi lokal benar. Contoh khasnya adalah acara reboot dan konsol login:Karena ini sepertinya hanya terjadi pada pengguna yang diberi nama, apakah ada perubahan ada sesuatu yang funky yang bersumber atau dijalankan dalam skrip login mereka? Apakah Anda sudah berubah
~/.bashrc
atau~/.bash_profile
dari default? Apakah ada skrip login khusus lainnya di lingkungan?--Edit--
Saya masih tidak dapat mereproduksi ini dengan cara apa pun. Saya melihat dua komponen penting. The
last
perintah stabil dan tidak berubah dalam waktu yang lama. Melihat changelog untuk sysvinit-tools , tidak ada bug yang relevan. Sama untuk skrip init (wtmp).Jika Anda dapat memaksa ini terjadi, coba dengan akun pengguna yang berbeda dari mesin sumber yang sama. Tapi saya tidak melihat indikasi bahwa ini adalah masalah OS.
sumber
/etc/hosts
) harus memengaruhi semua orang ... tidak just melast -if
terhadap kedua file itu dan melihat apakah Anda melihat hasil yang sama dari waktu ke waktu?/var/log/secure
... entri yang0.0.0.0
tidak menunjukkan apa pun di/var/log/secure
RESOLUSI AKHIR
Saya sudah memberikan bonus, jadi ini murni untuk googler masa depan dengan pertanyaan yang sama.
Alasan ini hanya muncul di ~ 10% dari login saya adalah karena ketika saya membuat perubahan besar pada router atau switch kami, saya menggunakan
script foo.log
jadi saya punya log terminal lengkap dari perubahan. Untuk alasan yang saya masih tidak mengerti, CentOS membuatpts
entri ketika Anda menggunakanscript
perintah ... Saya akan menunjukkan outputlast -i
sebelum dan setelah menjalankanscript
...Perilaku ini tampaknya unik untuk CentOS 6 ... kami memiliki beberapa mesin CentOS 4.7 di lab yang tidak memasukkan entri kosong di
wtmp
... Mesin Debian / Gentoo juga tidak menunjukkan perilaku ini. Admin-linux kami menggaruk-garuk kepala mereka mengapa CentOS akan dengan sengaja menambahkanpts
entri lain ketika Anda mengeksekusiscript
... Saya menduga ini adalah bug RHEL.EDIT : Saya mengajukan masalah ini sebagai RHEL Bug id 892134
CATATAN
Beberapa orang telah keliru menganggap aku meletakkan
script
di saya~/.bashrc
atau~/.bash_profile
. Ini adalah argumen yang cacat ... jika itu benar, sayawtmp
harus memiliki0.0.0.0
entri setelah setiap login ssh saya ...Tentu saja, bukan itu masalahnya ...
sumber
script
perintah dalam pertanyaan awal Anda.script
Program membuat naskah dari segala sesuatu dicetak pada terminal Anda. Ini detail yang berkaitan..bashrc
atau.bash_profile
, itu tidak; Saya mengeksekusiscript foo.log
ketika saya membuat perubahan besar sehingga saya dapat memiliki perubahan-log ... yaitu itu sebabnya itu hanya mempengaruhi ~ 10% dari login saya 2) Jika tuduhan Anda benar (dan itu tidak), saya tidak akan pernah memiliki ssh login yang tidak memiliki0.0.0.0
entri lain hanya setelah itu 3)script
hanya melakukan ini di CentOS ... Saya telah menggunakannya selama lebih dari satu dekade dan tidak pernah melihat perilaku ini di distro lain ... pada titik ini saya berpendapat kemungkinan besar CentOS bugscript
hanya akan membayar shell. Berdasarkan apa yang Anda tunjukkan di sini, versi CentOS / Redhatscript
sebenarnya menggunakan garpu pertama. Meskipun agak kecewa (: P) bahwa itu bukan sesuatu yang lebih umum / lintas distro, setidaknya misteri itu hilang dari pikiran saya. PS: Saya heran Anda memiliki Gentoo dalam produksi @. @Koneksi Pseudo Terminal Slave (pts) adalah koneksi SSH atau telnet yang berarti koneksi tidak langsung ke sistem. Semua koneksi ini dapat terhubung ke shell yang memungkinkan Anda untuk mengeluarkan perintah ke komputer. Jadi, ketika Anda membuka terminal di sistem Anda dari gui, itu membuka Poin dengan sumber ip 0.0.0.0. Dari informasi yang diberikan oleh Anda, tampaknya itu terjadi karena skrip berjalan di server ini atau dijadwalkan, yang menggunakan ssh atau layanan telnet atau Poin lokal untuk melempar output di terminal.
sumber
Klien ssh mana yang Anda gunakan? Beberapa klien ssh dapat mengalikan beberapa terminal melalui satu koneksi dan saya perhatikan semua sesi Anda tanpa IP termasuk dalam sesi yang lebih panjang yang memiliki IP yang dicatat.
Saya tidak dapat menduplikasi perilaku ini dengan ssh di sini.
sumber
Mungkin alamat IP Anda memutuskan menjadi string kosong pada salah satu server DNS Anda, mungkin yang sekunder jika itu terjadi hanya 10 persen dari waktu (atau mungkin saja file host jika ini didistribusikan dari repositori pusat). Itu akan menjelaskan entri yang hilang (atau ruang putih) dan konsisten dengan bacaan Soham tentang sumber.
sumber
"0.0.0.0" berarti itu adalah pengguna lokal (bukan login jarak jauh), mungkin dipanggil oleh aplikasi misalnya cronjob.
sumber
# last -i |grep 0.0.0.0 \ reboot system boot 0.0.0.0 Wed Dec 5 20:09 - 17:18 (15+21:08) # last |grep reboot \ reboot system boot 2.6.32-10-pve Wed Dec 5 20:09 - 17:18 (15+21:08)
Itu terjadi karena Anda menggunakan sistem lokal dan 0.0.0.0 berarti alamat ip semua antarmuka. Jika Anda berpikir bahwa mungkin ada seseorang yang diretas, Anda mencoba mengatur log penuh shell termasuk perintah melalui ssh - http://blog.pointsoftware.ch/index.php/howto-bash-audit-command-logger/
sumber
Saya menyelesaikannya dengan menambahkan skrip ke ~ / .bashrc skrip menemukan alamat IP sumber koneksi telnet terakhir, Kemudian Anda dapat menambahkan IP ke file log atau melakukan apa pun yang Anda butuhkan ..
Sharon
sumber
netstat -nae | grep 23
bukan cara yang berguna untuk menemukan koneksi telnet. Perintah ini memberikan 92 hasil pada sistem saya, tidak ada yang menjadi telnet.