LINUX.ORG.RU
решено ФорумAdmin

Странные записи в логах CentOS 8

 , ,


0

3

Вижу вот такие записи в логах идут постоянно, раз в 3 минуты, потом прекращаются на довольно длительное время (пол дня например), потом опять шпарят. Подскажите, что это вообще такое и куда копать?

Jan  5 00:35:51 d51102 systemd[1]: Started /run/user/0 mount wrapper.
Jan  5 00:35:51 d51102 systemd[1]: Created slice User Slice of UID 0.
Jan  5 00:35:51 d51102 systemd[1]: Starting User Manager for UID 0...
Jan  5 00:35:51 d51102 systemd[1]: Started Session c4227 of user root.
Jan  5 00:35:51 d51102 systemd[20149]: Reached target Paths.
Jan  5 00:35:51 d51102 systemd[20149]: Reached target Timers.
Jan  5 00:35:51 d51102 systemd[20149]: Starting D-Bus User Message Bus Socket.
Jan  5 00:35:51 d51102 systemd[20149]: Listening on D-Bus User Message Bus Socket.
Jan  5 00:35:51 d51102 systemd[20149]: Reached target Sockets.
Jan  5 00:35:51 d51102 systemd[20149]: Reached target Basic System.
Jan  5 00:35:51 d51102 systemd[20149]: Reached target Default.
Jan  5 00:35:51 d51102 systemd[20149]: Startup finished in 22ms.
Jan  5 00:35:51 d51102 systemd[1]: Started User Manager for UID 0.
Jan  5 00:35:51 d51102 systemd[1]: user-runtime-dir@0.service: Unit not needed anymore. Stopping.
Jan  5 00:35:51 d51102 systemd[1]: Stopping User Manager for UID 0...
Jan  5 00:35:51 d51102 systemd[20149]: Stopped target Default.
Jan  5 00:35:51 d51102 systemd[20149]: Stopped target Basic System.
Jan  5 00:35:51 d51102 systemd[20149]: Stopped target Paths.
Jan  5 00:35:51 d51102 systemd[20149]: Stopped target Sockets.
Jan  5 00:35:51 d51102 systemd[20149]: Closed D-Bus User Message Bus Socket.
Jan  5 00:35:51 d51102 systemd[20149]: Reached target Shutdown.
Jan  5 00:35:51 d51102 systemd[20149]: Stopped target Timers.
Jan  5 00:35:51 d51102 systemd[20149]: Starting Exit the Session...
Jan  5 00:35:51 d51102 systemd[1]: user-runtime-dir@0.service: Unit not needed anymore. Stopping.
Jan  5 00:35:51 d51102 systemd[1]: Stopped User Manager for UID 0.
Jan  5 00:35:51 d51102 systemd[1]: user-runtime-dir@0.service: Unit not needed anymore. Stopping.
Jan  5 00:35:51 d51102 systemd[1]: Stopping /run/user/0 mount wrapper...
Jan  5 00:35:51 d51102 systemd[1]: Removed slice User Slice of UID 0.
Jan  5 00:35:51 d51102 systemd[1]: Stopped /run/user/0 mount wrapper.

Ответ на: комментарий от samson_b

может что-то под рутом запускается?

Ну да, наверняка.

Если там создаётся PAM-сессия, то с точки зрения systemd это логин.

intelfx ★★★★★
()
Ответ на: комментарий от intelfx

Подскажите, как можно понять что это? Я обратил внимание, что когда я подключаюсь к серверу по ssh (root) и держу сессию открытой, эти записи в лог прекращаются, как только сессию закрою - опять начинается. Я раньше думал, что это связано с какими-то временными интервалами, оказалось не так.

samson_b
() автор топика
Ответ на: комментарий от intelfx

Да там одно и тоже, вот такими блоками, который я привел в первом посте. 

[root@d51102 log]# cat messages | grep 'Jan  6 01:5'
Jan  6 01:51:07 d51102 systemd[1]: Started /run/user/0 mount wrapper.
Jan  6 01:51:07 d51102 systemd[1]: Starting User Manager for UID 0...
Jan  6 01:51:07 d51102 systemd[32244]: Reached target Paths.
Jan  6 01:51:07 d51102 systemd[32244]: Starting D-Bus User Message Bus Socket.
Jan  6 01:51:07 d51102 systemd[32244]: Reached target Timers.
Jan  6 01:51:07 d51102 systemd[32244]: Listening on D-Bus User Message Bus Socket.
Jan  6 01:51:07 d51102 systemd[32244]: Reached target Sockets.
Jan  6 01:51:07 d51102 systemd[32244]: Reached target Basic System.
Jan  6 01:51:07 d51102 systemd[32244]: Reached target Default.
Jan  6 01:51:07 d51102 systemd[32244]: Startup finished in 22ms.
Jan  6 01:51:07 d51102 systemd[1]: Started User Manager for UID 0.
Jan  6 01:51:07 d51102 systemd[1]: user-runtime-dir@0.service: Unit not needed anymore. Stopping.
Jan  6 01:51:07 d51102 systemd[1]: Stopping User Manager for UID 0...
Jan  6 01:51:07 d51102 systemd[32244]: Stopped target Default.
Jan  6 01:51:07 d51102 systemd[32244]: Stopped target Basic System.
Jan  6 01:51:07 d51102 systemd[32244]: Stopped target Sockets.
Jan  6 01:51:07 d51102 systemd[32244]: Stopped target Paths.
Jan  6 01:51:07 d51102 systemd[32244]: Stopped target Timers.
Jan  6 01:51:07 d51102 systemd[32244]: Closed D-Bus User Message Bus Socket.
Jan  6 01:51:07 d51102 systemd[32244]: Reached target Shutdown.
Jan  6 01:51:07 d51102 systemd[32244]: Starting Exit the Session...
Jan  6 01:51:07 d51102 systemd[1]: user-runtime-dir@0.service: Unit not needed anymore. Stopping.
Jan  6 01:51:07 d51102 systemd[1]: Stopped User Manager for UID 0.
Jan  6 01:51:07 d51102 systemd[1]: user-runtime-dir@0.service: Unit not needed anymore. Stopping.
Jan  6 01:51:07 d51102 systemd[1]: Stopping /run/user/0 mount wrapper...
Jan  6 01:51:07 d51102 systemd[1]: Removed slice User Slice of UID 0.
Jan  6 01:51:07 d51102 systemd[1]: Stopped /run/user/0 mount wrapper.
Jan  6 01:54:44 d51102 systemd[1]: Started /run/user/0 mount wrapper.
Jan  6 01:54:44 d51102 systemd[1]: Starting User Manager for UID 0...
Jan  6 01:54:44 d51102 systemd[32373]: Reached target Paths.
Jan  6 01:54:44 d51102 systemd[32373]: Starting D-Bus User Message Bus Socket.
Jan  6 01:54:44 d51102 systemd[32373]: Reached target Timers.
Jan  6 01:54:44 d51102 systemd[32373]: Listening on D-Bus User Message Bus Socket.
Jan  6 01:54:44 d51102 systemd[32373]: Reached target Sockets.
Jan  6 01:54:44 d51102 systemd[32373]: Reached target Basic System.
Jan  6 01:54:44 d51102 systemd[32373]: Reached target Default.
Jan  6 01:54:44 d51102 systemd[32373]: Startup finished in 21ms.
Jan  6 01:54:44 d51102 systemd[1]: Started User Manager for UID 0.
Jan  6 01:54:44 d51102 systemd[1]: user-runtime-dir@0.service: Unit not needed anymore. Stopping.
Jan  6 01:54:44 d51102 systemd[1]: Stopping User Manager for UID 0...
Jan  6 01:54:44 d51102 systemd[32373]: Stopped target Default.
Jan  6 01:54:44 d51102 systemd[32373]: Stopped target Basic System.
Jan  6 01:54:44 d51102 systemd[32373]: Stopped target Paths.
Jan  6 01:54:44 d51102 systemd[32373]: Stopped target Timers.
Jan  6 01:54:44 d51102 systemd[32373]: Stopped target Sockets.
Jan  6 01:54:44 d51102 systemd[32373]: Closed D-Bus User Message Bus Socket.
Jan  6 01:54:44 d51102 systemd[32373]: Reached target Shutdown.
Jan  6 01:54:44 d51102 systemd[32373]: Starting Exit the Session...
Jan  6 01:54:44 d51102 systemd[1]: user-runtime-dir@0.service: Unit not needed anymore. Stopping.
Jan  6 01:54:44 d51102 systemd[1]: Stopped User Manager for UID 0.
Jan  6 01:54:44 d51102 systemd[1]: user-runtime-dir@0.service: Unit not needed anymore. Stopping.
Jan  6 01:54:44 d51102 systemd[1]: Stopping /run/user/0 mount wrapper...
Jan  6 01:54:44 d51102 systemd[1]: Removed slice User Slice of UID 0.
Jan  6 01:54:44 d51102 systemd[1]: Stopped /run/user/0 mount wrapper.
Jan  6 01:56:08 d51102 systemd[1]: Started /run/user/0 mount wrapper.
Jan  6 01:56:08 d51102 systemd[1]: Starting User Manager for UID 0...
Jan  6 01:56:08 d51102 systemd[32420]: Reached target Timers.
Jan  6 01:56:08 d51102 systemd[32420]: Reached target Paths.
Jan  6 01:56:08 d51102 systemd[32420]: Starting D-Bus User Message Bus Socket.
Jan  6 01:56:08 d51102 systemd[32420]: Listening on D-Bus User Message Bus Socket.
Jan  6 01:56:08 d51102 systemd[32420]: Reached target Sockets.
Jan  6 01:56:08 d51102 systemd[32420]: Reached target Basic System.
Jan  6 01:56:08 d51102 systemd[32420]: Reached target Default.
Jan  6 01:56:08 d51102 systemd[32420]: Startup finished in 21ms.
Jan  6 01:56:08 d51102 systemd[1]: Started User Manager for UID 0.
Jan  6 01:56:08 d51102 systemd[1]: user-runtime-dir@0.service: Unit not needed anymore. Stopping.
Jan  6 01:56:08 d51102 systemd[1]: Stopping User Manager for UID 0...
Jan  6 01:56:08 d51102 systemd[32420]: Stopped target Default.
Jan  6 01:56:08 d51102 systemd[32420]: Stopped target Basic System.
Jan  6 01:56:08 d51102 systemd[32420]: Stopped target Paths.
Jan  6 01:56:08 d51102 systemd[32420]: Stopped target Sockets.
Jan  6 01:56:08 d51102 systemd[32420]: Closed D-Bus User Message Bus Socket.
Jan  6 01:56:08 d51102 systemd[32420]: Reached target Shutdown.
Jan  6 01:56:08 d51102 systemd[32420]: Starting Exit the Session...
Jan  6 01:56:08 d51102 systemd[32420]: Stopped target Timers.
Jan  6 01:56:08 d51102 systemd[1]: user-runtime-dir@0.service: Unit not needed anymore. Stopping.
Jan  6 01:56:08 d51102 systemd[1]: Stopped User Manager for UID 0.
Jan  6 01:56:08 d51102 systemd[1]: user-runtime-dir@0.service: Unit not needed anymore. Stopping.
Jan  6 01:56:08 d51102 systemd[1]: Removed slice User Slice of UID 0.
Jan  6 01:56:08 d51102 systemd[1]: Stopping /run/user/0 mount wrapper...
Jan  6 01:56:08 d51102 systemd[1]: Stopped /run/user/0 mount wrapper.

samson_b
() автор топика

Это backorificed для Linux.

anonymous
()
Ответ на: комментарий от samson_b

Тогда это очень странно. systemd не будет самостоятельно в цикле перезапускать user@0, если его никто об этом не просит. Хотя бы сообщения об открытых/закрытых сессиях должны быть.

А если в журнал посмотреть (journalctl -b)?

intelfx ★★★★★
()
Ответ на: комментарий от intelfx

А если в журнал посмотреть (journalctl -b)?

Спасибо за совет, покопался в journalctl, кажется нашел виновника. Сервер мониторится агентом Nagios XI, некоторые проверки (checks) требуют root прав, чтобы их провести. Я отключил парочку проверок, проверю, как это отразится на логах.

samson_b
() автор топика
Ответ на: комментарий от samson_b

некоторые проверки (checks) требуют root прав, чтобы их провести

Ну да. Стандартная проблема. Nagios работает с пониженными привилегиями, проверки запускаются от рута через какую-то обёртку, повышающую привилегии (su? sudo?), и на каждый запуск процесса от рута создаётся новая сессия. Тебе нужно PAM потюнить, чтобы обёртка не создавала новых logind-сессий.

Как эти проверки запускаются? Через sudo какое-нибудь?

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 4)
Ответ на: комментарий от intelfx

Дело именно в nagios, теперь это точно.

Как эти проверки запускаются? Через sudo какое-нибудь?

Да именно так 

sudo[34465]: nagios : TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/usr/local/nagios/libexec/check_init_service sshd

Тебе нужно PAM потюнить, чтобы обёртка не создавала новых logind-сессий.

Не поделишься как или хотя бы куда копать? Можно фильтр настроить, чтобы это в лог не выводилось, но не уверен, что так будет правильно.

samson_b
() автор топика
Ответ на: комментарий от samson_b

Не поделишься как или хотя бы куда копать?

В теории — достаточно просто. Тебе нужно пойти в /etc/pam.d/sudo и убрать оттуда ненужные шаги. Конкретно тебе нужно убрать pam_systemd.so. Проблема лишь в том, что в разных дистрибутивах PAM настроен существенно по-разному и я со своим арчом тебе особо ничего релевантного не подскажу.

Но я сейчас скачал восьмую центось и на практике, похоже, есть проблемы. В более вменяемых дистрибутивах конфигурация PAM различает между собой логин и аутентификацию: т. е. программы типа login, *dm и прочих имеют одни настройки (с созданием сессии и всем таким), а программы типа su, sudo и подобных имеют другие настройки (без создания сессии, т. к. оно там не нужно). А в центоси все PAM-конфиги инклюдят один и тот же system-auth, в котором напиханы все возможные модули, включая pam_systemd.so.

Другими словами, если ты его оттуда уберёшь, то у тебя отключится создание сессии вообще для любых способов входа в систему.

Я могу предложить следующее:

  • копируешь /etc/pam.d/system-auth в /etc/pam.d/system-sudo;
  • убираешь из /etc/pam.d/system-sudo строчку -session optional pam_systemd.so;
  • заменяешь в /etc/pam.d/sudo все ссылки на system-auth на system-sudo.
intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от intelfx

Но я сейчас скачал восьмую центось и на практике, похоже, есть проблемы.

Я могу предложить следующее:

Боги, почему ты еще не в rhel работаешь, быстрее, а то они скоро загнуться по тяжестью навороченного бездумно. Я реально без сарказма. Пусть все давятся мацой, но ты тут реально один из немногих, кто понимает как должны современные технологии рулить, и их огрехи, что главное. Ток не зазнавайся.

anonymous
()
Ответ на: комментарий от intelfx

Я сейчас так сделал: 

[root@d51102 rsyslog.d]# cat /etc/rsyslog.d/ignore-systemd-session-slice.conf
if ($programname == "systemd-logind" or $programname == "systemd") and \
($msg contains "system activity accounting tool" or \
$msg contains "Starting Session" or \
$msg contains "Started Session" or \
$msg contains "Removed session" or \
$msg contains "New session" or \
$msg contains "Created slice" or \
$msg contains "Removed slice" or \
$msg contains "Starting Exit the Session" or \
$msg contains "/run/user/0 mount wrapper" or \
$msg contains "Reached target" or \
$msg contains "Stopped target" or \
$msg contains "D-Bus User Message Bus Socket" or \
$msg contains "Startup finished in" or \
$msg contains "Unit not needed anymore" or \
$msg contains "Manager for UID 0" or \
$msg contains "dnf makecache" or \
$msg contains "Starting user-") then stop

Оно фильтрует весь этот излишний «шум» в логах. Попробую посмотреть твое решение поподробнее.

samson_b
() автор топика
Ответ на: комментарий от samson_b

Оно фильтрует весь этот излишний «шум» в логах

На кой хрен?

Я тебе описал технически корректное решение, но нет, не хотим, хотим костылить.

Чем логи фильтровать, лучше просто loginctl enable-linger root сделай.

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от intelfx

Я тебе описал технически корректное решение, но нет, не хотим, хотим костылить.

Я хотел тоже посмотреть, как это можно сделать с моими знаниями.

Сейчас сделал как ты сказал, смотрю за результатом. Вроде ничего не отвалилось :) Кстати, такой метод требует перезапуска каких-либо служб?

samson_b
() автор топика
Последнее исправление: samson_b (всего исправлений: 2)
Ответ на: комментарий от intelfx

Спасибо за совет, на первый взгляд все получилось, я не вижу больше в логах этих записей из-за sudo команд.

Снимаю шляпу. :)

samson_b
() автор топика
Ответ на: комментарий от samson_b

За какой из?

linger — это тоже костыль, хоть и гораздо меньший, чем фильтровать логи. Эта настройка заставляет systemd постоянно держать для рута одну виртуальную сессию и держать его systemd --user постоянно запущенным.

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от intelfx

Я вот это сделал:

копируешь /etc/pam.d/system-auth в /etc/pam.d/system-sudo;
убираешь из /etc/pam.d/system-sudo строчку -session optional pam_systemd.so;
заменяешь в /etc/pam.d/sudo все ссылки на system-auth на system-sudo.

И оно похоже что работает.

samson_b
() автор топика
10 февраля 2021 г.

Простите за некропостинг, но может мое тоже кому-то поможет. Пришел из гугла с поиском по записям в логах. По journalctl -b понял, что ноги растут из крона. В моем случае помогло добавить это

session     [success=1 default=ignore] pam_succeed_if.so service in cron quiet use_uid

в /etc/pam.d/crond.

Crystal_HMR ★★★
()
Последнее исправление: Crystal_HMR (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin