Ich beobachte sein längerer Zeit einen sehr regelmäßigen Aufruf von su für den User nobody in meiner /var/log/auth.log. Mir ist jedoch nur ein Prozess bekannt, der als nobody läuft und das ist mein openvpn-Gateway. (Debian 4.0 - unstable)
Code: Select all
Dec 19 06:25:02 servername su[1716]: Successful su for nobody by root
Dec 19 06:25:02 servername su[1716]: + ??? root:nobody
Dec 19 06:25:02 servername su[1716]: pam_unix(su:session): session opened for user nobody by (uid=0)
Dec 19 06:25:02 servername su[1716]: pam_unix(su:session): session closed for user nobody
Wie gesagt, ich habe nur einen Daemon als nobody laufen und das ist openvpn. Sind sonst noch irgend welche Maintainance-Scripte bekannt, die als nobody laufen? Nobody hat bei mir keine login-Shell und auch kein Home-Verzeichnis.
Danke und Grüße
Nico