Bonjour,
Remi FERNANDEZ a écrit :
> Bonjour,
>
> En parcourant les logs ce matin j'ai trouvé des lignes que je n'avais
> jamais lues auparavant
>
> dans /var/log/auth.log
>
> Feb 1 06:25:01 deltamsg su[29415]: Successful su for amavis by root
> Feb 1 06:25:01 deltamsg su[29415]: + ??? root:amavis
> Feb 1 06:25:01 deltamsg su[29415]: (pam_unix) session opened for user
> amavis by (uid=0)
> Feb 1 06:25:11 deltamsg su[29415]: (pam_unix) session closed for user
> amavis
> Feb 1 06:25:30 deltamsg su[30085]: Successful su for nobody by root
> Feb 1 06:25:30 deltamsg su[30085]: + ??? root:nobody
> Feb 1 06:25:30 deltamsg su[30085]: (pam_unix) session opened for user
> nobody by (uid=0)
> Feb 1 06:25:30 deltamsg su[30085]: (pam_unix) session closed for user
> nobody
> Feb 1 06:25:30 deltamsg su[30089]: Successful su for nobody by root
> Feb 1 06:25:30 deltamsg su[30089]: + ??? root:nobody
> Feb 1 06:25:30 deltamsg su[30089]: (pam_unix) session opened for user
> nobody by (uid=0)
> Feb 1 06:25:30 deltamsg su[30089]: (pam_unix) session closed for user
> nobody
> Feb 1 06:25:30 deltamsg su[30091]: Successful su for nobody by root
> Feb 1 06:25:30 deltamsg su[30091]: + ??? root:nobody
> Feb 1 06:25:30 deltamsg su[30091]: (pam_unix) session opened for user
> nobody by (uid=0)
> Feb 1 06:25:42 deltamsg su[30091]: (pam_unix) session closed for user
> nobody
>
> Je précise le contexte, il s'agit d'une machine sous Debian etch qui
> héberge un serveur LAMP et Mail...
>
> Est ce que vous voyez là des raisons de s'inquiter?
Je dirais qu'à priori non. C'est l'utilisateur "root", qui a fait des
"su" (voir "man su", cela permet au root de changer d'identité), afin de
devenir "amavis" ou "nobody".
Cela peut fort bien être le démarrage du démon "amavis". Pour le
changement de "root" en "nobody", cela peut-être n'importe quel autre
programme.
Si ces lignes sont apparus lorsque la machine a démarrée (Feb 1
06:25:01), tu trouveras l'explication d'un l'un des script de /etc/rc.*
(vraisemblablement /etc/rc5.d/*).
Cordialement,
Olivier
--
~~~~~~~ _____/\_____ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix / _ \/ _ \ Olivier Allard-Jacquin
/ / \ / \ \ Web: http://olivieraj.free.fr/
/___/ / \ \___\ Mail: olivieraj@???
~~~~ ///// ///\\\ \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!