即座にシャットダウンして迅速に再生成するキャプチャプロセス

即座にシャットダウンして迅速に再生成するキャプチャプロセス

Linuxサーバーには、次のログメッセージがたくさんあります。

Jul 17 09:22:34 sweden sudo[3631848]: pam_unix(sudo:auth): auth could not identify password for [myuser]
Jul 17 09:22:34 sweden sudo[3631848]: pam_sss(sudo:auth): authentication failure; logname= uid=30044 euid=0 tty= ruser=myuser rhost= user=myuser
Jul 17 09:22:34 sweden sudo[3631848]: pam_sss(sudo:auth): received for user myuser: 7 (Authentication failure)
Jul 17 09:22:35 sweden sudo[3631849]: pam_unix(sudo:auth): Couldn't open /etc/securetty: No such file or directory
Jul 17 09:22:35 sweden sudo[3631849]: pam_unix(sudo:auth): conversation failed

それらはジャーナルにあふれている未知のプログラムによって生成されました。 〜500msごとに新しいプロセスが作成されますが、ソース(コマンドまたは親プロセス)を識別できません。

SIGSTOP寿命が非常に短く、常にPIDを変更するプロセスをどのように停止することができますか?

私はそれを見ようとしましたが、watch -n0.1 'ps fuxww'何も表示されませんでした。

答え1

  1. 実行中のプロセスを見つけて、myuserその役割を調べます。

  2. crontab -u myuser -l実行中のcronジョブがあるかどうかを確認するには、実行しますsudo(crontabエントリから直接、またはcronで実行されているスクリプトで)。

  3. grep myuser /etc/crontab /etc/cron*/*システムクローン操作がある場合myuser

  4. 実行して、キューにあるジョブがatqあることを確認しますat

  5. また、~myuser/.config/systemd/user/システムタイマージョブがスケジュールされていることを確認してください。

  6. grep -r pam_securetty /etc/pam.d/ファイルが存在しないときにsecuretty /etc/securetty(*)を使用するように設定されたpamサービスを見つけるには、実行してください。sudo認証ログメッセージ、他のメッセージ、ファイルのいずれかを生成するため、それらの1つになります/etc/pam.d/common-*

(*)/etc/securetty許可される ttys ルートログインを制限するために使用されます。

関連情報