Aide pour analyse logs ssh / systemd

Support Debian
#1

Bonjour à tous,
Sur mon réseau local, j’ai un accès root de PC5 refusé par PC3, ce qui est normal* mais je n’arrive pas à trouvé ce qui génère ce « pb ».
*Mon accès root est désactivé dans PC3 (et mes autres machines) et je n’arrive pas à savoir quel script est à l’origine de cet accès sur PC5 (rien vu dans le crontab, ni dans les timer systemd)

J’ai extrait ci-dessous les logs sur les 2 machines.

PC3
Sep 20 20:00:27 PC3 sshd[491334]: ROOT LOGIN REFUSED FROM 192.168.0.225 port 45464
Sep 20 20:00:27 PC3 sshd[491334]: ROOT LOGIN REFUSED FROM 192.168.0.225 port 45464 [preauth]
A noter que le pid et le port ne sont (bien sûr) pas constants.
PC5 (192.168.0.225)
sept. 20 20:00:26 PC5 systemd[1]: Received SIGCHLD from PID 1351 (ssh).
sept. 20 20:00:26 PC5 systemd[1]: Child 1351 (ssh) died (code=exited, status=255/n/a)

Sachant que je suis déjà en log maximal, comment obtenir plus d’informations? En particulier concernant le log PC5.
Merci d’avance.

#2

Bonjour,

Je ne comprend pas vraiment. Qui est le client et qui est le serveur ? Comment le client se connecte au serveur ? Pourquoi as-tu besoin de te connecter en tant que root (déconseillé en général) ?

#3

moi non plus, sinon je n’aurais pas écrit ce post :slight_smile:

d’après les logs, PC3 est le serveur (sshd) et PC5 le client (ssh)

sais pas

Pas de besoin, l’accès root est désactivé

#4

Ah, pardon, tu vois que PC5 tente de se connecter tout seul à PC3, mais tu ne sais pas pourquoi.
Heu, peut-être un montage en sshfs, jette un œil dans ton fstab pour voir (celui de PC5).

#5

Rien de ce côté là.
PC5 est un LXC, son fstab est vide et dans sa config il y 3 mount.entry qui sont bien exécutés et qui ne concerne pas PC3

#6

Trouvé, il s’agissait d’un essai BackupPC que j’avais oublié! Trouvé via la cde : lastcomm (paquet acct) , voir Tcpdump - process origine?