Изпечатай

[abadon]

Здравейте на всички.
Извинявам се ако има пускана подобна тема някъде или ако има информация в нета за проблема ми, но просто не знам как да формулирам ключовете думи за да я намеря.

И така да минем на проблема ми. Значи като ми се пусне компютъра имам 5 логнати потребителя, което според мен не е нормално и ме интересува, защо става така как да намяла този брой до 1 или 2.
Ако ще е от помощ, машината ми се влючва сама в 10 сутринта — настройл съм я от дънната платка и се изключва сама вечер, чрез cron. Ето това е изхода на командата who:

Цитат

~ # who genko    :0           2005-10-18 10:01 (console) genko    pts/0        2005-10-18 10:01 genko    pts/2        2005-10-18 10:02 genko    pts/1        2005-10-18 10:02 genko    pts/3        2005-10-18 10:02

Също като се стратира KDE-то, автоматично ми се пуска yakuake 3 пъти, не знам как и защо става така, при полужене че не съм настройвал нищо — просто така взе да става след инсталацията на тази програма и един път ми се пуска Azureus-a (него аз съм го настройл така). Дистрибуцията ми е SuSE 10.0 OSS RC1.

Предварително благодаря за отговора.

[NINJ4]

не виждам нищо ненормално. колко конзоли (xterm, eterm или каквото там ползваш) отваряш едновременно? вижда се от последната колона на изхода от who, че всичките ти юзъри (т.е ти самият) се включват в 10:01, 10:02, веднага след стартирането на компютъра. ако при работа, отвориш например 10 конзоли, ще видищ 10 юзъра (ти, ако използваш само един юзър) логнати, на съответните псевдо терминални устройства (pts/1, pts/2 ...). не познавам 2-те програми, които писа, че се включват след стартиране на компютъра, но предполагам, че точно тях виждаш като логнати. ако ти пречи, намери начин да разбереш защо и как така се случва, ама това е вече друга тема.

[abadon]

yakuake e терминален емулатор, а Azureus-a е битторент клиент. Може би от yakuake-а да логва част от юзърите, но азуреуса не вярмам да включва още някой потребител. Не ми пречи това че имам логнати 5 потребителя, но просто искам да разбера защо става така и ако може да ги намаля.
Защо обаче след като затворя yakuake-а пак си остават логнати тези потребители? Има ли начин да ги изключа принодително?

[NINJ4]

нямам при мен Линукс,така че малко наизуст говоря.
първо използвай командата "w". дава ти малко по-подробна информация за логнатите в системата потребители, а пък е и по-кратка. в последната колона дава информация за това каква команда извършва даден потребител.
можеш да използваш и "lsof /dev/pts1" за да видиш какъв процес върви на pts/1 и така за всеки един. връща и PID на процеса, така че после можеш да "колиш и да бесиш" '>
fuser и той върши същата работа.
ps aux (или с опциите, които предпочиташ) също помага.
почети малко за горните команди или дай изход от тях за да ти се помогне повече. незнам защо си мисля, че това което те "тревожи" е yakuake, въпреки че твърдиш, че го затваряш. пробвай за всеки случай "pgrep yakuake"

[abadon]

След като изпробвах всички команди, които си ми дал като пример видях, че нява нищо тревожно. Ще прочета и man-овете им, но и от  това което разбрах без да съм ги чел доста неща ми се изясниха. Явно има някакво несъответствие между who и w или по-точно част от логнатите юзъри не вършат нищо. Ето защо мисля така:

Цитат

# who genko    :0           2005-10-19 08:29 (console) genko    pts/0        2005-10-19 08:30 genko    pts/1        2005-10-19 08:35 genko    pts/2        2005-10-19 08:30 genko    pts/3        2005-10-19 08:30

Цитат

# w  09:34:13 up  1:05,  5 users,  load average: 0,85, 1,40, 1,40 USER     TTY        LOGIN@   IDLE   JCPU   PCPU WHAT genko    :0        08:29   ?xdm?   7:38   0.15s /bin/sh /usr/X11R6/bin/kde genko    pts/0     08:30    1:04m  0.00s  4.85s kded [kdeinit] genko    pts/1     08:35    0.00s  0.09s  0.02s /bin/bash

Цитат

# lsof /dev/pts/0 COMMAND  PID  USER   FD   TYPE DEVICE SIZE NODE NAME kded    5336 genko   14u   CHR  136,0         2 /dev/pts/0

Цитат

# lsof /dev/pts/1 COMMAND  PID  USER   FD   TYPE DEVICE SIZE NODE NAME yakuake 5733 genko   11u   CHR  136,1         3 /dev/pts/1 bash    5742 genko    0u   CHR  136,1         3 /dev/pts/1 bash    5742 genko    1u   CHR  136,1         3 /dev/pts/1 bash    5742 genko    2u   CHR  136,1         3 /dev/pts/1 bash    5742 genko  255u   CHR  136,1         3 /dev/pts/1 su      5752  root    0u   CHR  136,1         3 /dev/pts/1 su      5752  root    1u   CHR  136,1         3 /dev/pts/1 su      5752  root    2u   CHR  136,1         3 /dev/pts/1 bash    5756  root    0u   CHR  136,1         3 /dev/pts/1 bash    5756  root    1u   CHR  136,1         3 /dev/pts/1 bash    5756  root    2u   CHR  136,1         3 /dev/pts/1 bash    5756  root  255u   CHR  136,1         3 /dev/pts/1 lsof    8457  root    0u   CHR  136,1         3 /dev/pts/1 lsof    8457  root    1u   CHR  136,1         3 /dev/pts/1 lsof    8457  root    2u   CHR  136,1         3 /dev/pts/1

На pts/2 pts/3 не се извършва нищо, а според who има логнат юзър, което според мен е странно.

Благодяра и правилни ли заключения съм си направил?

[NINJ4]

и "w" ти показва, че имаш "5 users",  погледни на най-горния ред, просто не разпознава какво вършат (погледни секция  BUGS в man) си мисля.
винаги когато имаш някакви притеснения е хубаво да си инсталираш и да си пуснеш някой chkrootkit, за да ти е мирна главата. ако се позанимаеш по-подробно с ps,  смятам че ще намериш отговор на въпроса си, но преди това както те посъветвах по-горе

[abadon]

Благодаря ти още веднъж за всичко.
Имам инсталиран chkrootkit и си го пускам най-редовно — нямам нищо инфектирано или подозрително. Пуснал съм си защитната стена вградена в SuSE и имам отворен единствено един порт заради Azureus-a, в /etc/hosts.deny съм написъл "ALL: ALL", в /etc/hosts.allow нямам написано нищо, редовно си правя проверки на сигурността с nessus, блокирал съм си ping-a към машината, нямам пуснати никакви мрежови услуги, със статична arp таблица съм, качил със си и един допулнителен модул за ядрото, който следи за евентуални опити на някой да осъществи атака от "тип човек по средата" и т.н. Според теб възможно ли е някой да ме инфектирал?

Гледах с ps -A и нищо не се извършва на pts/2  и pts/3 на които има логнати потребители явно като си пусна системата като ми се пусне yakuake-а 3 пъти, логва три юзъра след което аз го kill-вам 2 пъти, но юзърите си остават логнати.
Само не разбрах има ли някакъв начин да ги изключа тези потребители?

[sdr]

Това да си забраниш пинга е едно от наистина много глупавите неща ако машината ти не е рутер и не ти трябва всеки грам мрежовканал..... ако наистина искаш да си невидим в лан-а трябва да забраниш и АРП но ми се струва по-лесно просто да си дръпнеш кабела...

[NINJ4]

виж първо дали yakuake-то е това което ти прави проблем. предполагам го стартираш от някой скрипт, така че го извади оттам и стартирай Х-са без него. виж дали who ги показва пак.
ако това ти е проблема, явно yakuake не излиза както трябва. незнам как го затваряш и какво kill-ваш, ама провери статус-а от изхода (echo $?, 0 е ок). като компромисен вариант се ориентирай към xterm, aterm или нещо от сорта.

не виждам какво вреди това, че е изключил пинга. има мрежови сканери дето като претърсват мрежа, първо пингват, за да проверят дали хоста е "жив" и след това сканират за отворени портове.

[abadon]

Пробвах с  echo $? изкара ми 0. След което не стартирах yakuake-ка явно той не сработва както трябва, защото броя на потребителите се намали. Ще ги пробвам тези xterm (имам го но не го харесвам)  и aterm.

Дотогава ще си карам с  yakuake, като правя следното нещо за да изключа ненужните ми потребители. Пускам си konsole три пъти, след което изпълнявам три пъти (на всяка konsole по веднъж) exit.

С това смятам, че темата приключи. Благодяра ти  NINJ4