Linuxサーバーには、次のログメッセージがたくさんあります。
Jul 17 09:22:34 sweden sudo[3631848]: pam_unix(sudo:auth): auth could not identify password for [myuser]
Jul 17 09:22:34 sweden sudo[3631848]: pam_sss(sudo:auth): authentication failure; logname= uid=30044 euid=0 tty= ruser=myuser rhost= user=myuser
Jul 17 09:22:34 sweden sudo[3631848]: pam_sss(sudo:auth): received for user myuser: 7 (Authentication failure)
Jul 17 09:22:35 sweden sudo[3631849]: pam_unix(sudo:auth): Couldn't open /etc/securetty: No such file or directory
Jul 17 09:22:35 sweden sudo[3631849]: pam_unix(sudo:auth): conversation failed
それらはジャーナルにあふれている未知のプログラムによって生成されました。 〜500msごとに新しいプロセスが作成されますが、ソース(コマンドまたは親プロセス)を識別できません。
SIGSTOP
寿命が非常に短く、常にPIDを変更するプロセスをどのように停止することができますか?
私はそれを見ようとしましたが、watch -n0.1 'ps fuxww'
何も表示されませんでした。
答え1
実行中のプロセスを見つけて、
myuser
その役割を調べます。crontab -u myuser -l
実行中のcronジョブがあるかどうかを確認するには、実行しますsudo
(crontabエントリから直接、またはcronで実行されているスクリプトで)。grep myuser /etc/crontab /etc/cron*/*
システムクローン操作がある場合myuser
。実行して、キューにあるジョブが
atq
あることを確認しますat
。また、
~myuser/.config/systemd/user/
システムタイマージョブがスケジュールされていることを確認してください。grep -r pam_securetty /etc/pam.d/
ファイルが存在しないときにsecuretty/etc/securetty
(*)を使用するように設定されたpamサービスを見つけるには、実行してください。sudo
認証ログメッセージ、他のメッセージ、ファイルのいずれかを生成するため、それらの1つになります/etc/pam.d/common-*
。
(*)/etc/securetty
許可される ttys ルートログインを制限するために使用されます。