Perché vedo una sessione CRON aprirsi e chiudersi ogni ora in /var/log/auth.log?

Sono abbastanza fresco con Linux nel suo insieme, quindi questa potrebbe essere una domanda sciocca - ma vorrei ancora conoscere la risposta

Questa mattina quando guardo il mio /var/log/auth.log (che mi è stato detto di prendere l'abitudine) noto che una volta ogni ora ha registrato un evento simile a questo:

     May 13 20:17:01 Ubuntu-Server-1401-VM CRON[2280]: pam_unix(cron:session): session opened for user root by (uid=0)
     May 13 20:17:01 Ubuntu-Server-1401-VM CRON[2280]: session closed for user root

Ha quindi continuato ad accadere ogni ora alle x: 17: 01 fino a quando ho aperto il registro. Durante questo periodo è stata mantenuta attiva una connessione SSH a questo server (in cui si è verificato il registro). La mia ipotesi migliore è che ogni ora il mio client SSH ha cercato di vedere se poteva ottenere l'accesso root come modo per verificare la connessione alla connessione SSH al server, ma vorrei essere al sicuro. Qualcuno sa di cosa si tratta?

Supponendo che non hai cambiato nulla dall'impostazione predefinita cron, questa è la tua /etc/crontabcorsa. Sul mio server Ubuntu 10.04.3 LTS, i suoi contenuti includono:

# m h dom mon dow user  command
17 *    * * *   root    cd / && run-parts --report /etc/cron.hourly

Quindi, cronsi sveglia ogni ora ed esegue tutti gli script situati all'interno /etc/cron.hourly. Probabilmente non ne hai nessuno ed è per questo che non fa nulla. Esegue semplicemente una rootsessione che viene eseguita run-partse quindi chiude di nuovo la sessione.

Queste voci di registro sono state scritte dalle librerie PAM quando il cronddaemon ha eseguito attività in background. crondesegue i lavori secondo una pianificazione, per conto del sistema e degli utenti sul sistema.

Ogni utente ha il proprio crontabfile di configurazione, che può essere modificato con il crontab -ecomando o mostrato usando crontab -l. L'amministratore di sistema può anche configurare i lavori tramite una pletora di /etc/file e directory; /etc/cron.d/fornisce un posto facile per i servizi di abbandonare le proprie configurazioni, e /etc/crontable unità i hourly, dailye weeklyle directory, così come piste qualunque sia l'amministratore può scegliere di eseguire.

crondcambierà gli utenti con l'utente corretto (specificato nel /etc/crontabfile e nella /etc/cron.d/directory o dai crontabfile forniti dall'utente ) prima di eseguire i lavori; utilizza il sistema PAM per cambiare utente.

PAM offre un'unica posizione per configurare diversi modi per autenticare e autorizzare gli utenti e fornire la configurazione della sessione, oltre a fornire un modo per modificare le password (o altri token di autenticazione). Ogni servizio che utilizza PAM ha un file di configurazione /etc/pam.d/che descrive quali moduli PAM usare quando si accede a un utente.

Il mio /etc/pam.d/cronfile è simile al seguente:

# The PAM configuration file for the cron daemon

@include common-auth

# Read environment variables from pam_env's default files, /etc/environment
# and /etc/security/pam_env.conf.
session       required   pam_env.so

# In addition, read system locale information
session       required   pam_env.so envfile=/etc/default/locale

@include common-account
@include common-session-noninteractive 

# Sets up user limits, please define limits for cron tasks
# through /etc/security/limits.conf
session    required   pam_limits.so

Ciò garantisce che i limiti configurati per gli utenti vengano applicati alle attività degli utenti quando li eseguono tramite cron. Se si desidera modificare tali limiti per servizio, è possibile configurare pam_limits.soin questo file con i propri conf=/etc/security/cron-limits.confe applicare limiti diversi rispetto agli accessi ssh ( /etc/pam.d/sshd) o agli accessi console ( /etc/pam.d/login).