Wie kann ich feststellen, wer / was mein CentOS VPS herunterfährt?

7

CentOS 5.7 VPS (läuft unter OpenVZ)

Mein VPS wurde heute Morgen heruntergefahren und ich bin mir nicht sicher warum. Ich habe meinen VPS-Host kontaktiert und er hat angegeben, dass der Server "ausgeschaltet" ist. Sie haben es wieder eingeschaltet, aber ich bin verwirrt darüber, wie / warum genau es heruntergefahren wurde. Der Gastgeber gab keine freiwilligen Informationen / Meinungen darüber ab, warum es geschlossen wurde.

Ich habe / var / log / messages überprüft und Folgendes festgestellt:

Nov 23 11:12:13 echo shutdown[5748]: shutting down for system halt 
Nov 23 11:12:13 echo init: Switching to runlevel: 0 
Nov 23 11:12:13 echo saslauthd[15407]: server_exit     : master exited: 15407 
Nov 23 11:12:20 echo xinetd[12074]: Exiting... Nov 23 11:12:20 echo exiting on signal 15

Ich habe / var / log / Secure überprüft und Folgendes festgestellt:

Nov 23 11:12:13 echo userhelper[5748]: running '/sbin/halt' with root privileges on behalf of 'root' 
Nov 23 11:12:19 echo sshd[11982]: Received signal 15; terminating.

Ich sehe keine nicht autorisierten SSH-Verbindungen. Ich habe SSH, das einen anderen Port überwacht, nur autorisierte Schlüssel akzeptiert und nur Verbindungen von bestimmten IPs akzeptiert (über Einschränkungen für iptables).

Gibt es irgendwo anders, wo ich die Theorie beweisen oder widerlegen kann, dass mein VPS-Host dies getan hat?


UPDATE: Ich bin gelaufen lastund hier ist, was ich für die neuesten Einträge bekomme (ich habe den Hostnamen / Benutzernamen bearbeitet). Beide mit "mike" sind ich und legitim.

mike     pts/1        c-11-11-11-11 Wed Nov 23 11:56   still logged in
reboot   system boot  2.6.18-194.8.1.e Wed Nov 23 11:48          (01:42)
mike     pts/0        foo.foo.com Mon Nov 21 16:27 - 20:39  (04:11)

Irgendeine Idee, was der "Neustart" ist?

Mike B.
quelle

Antworten:

5

Sie können sehen, dass dies durch "UserHelper" ausgelöst wurde, einen GUI-Wrapper für Pam. Da Sie jedoch keine vorherigen Protokolle veröffentlichen, kann ich Ihnen immer noch keine endgültige Antwort auf die Verwendung von "Userhelper" geben.

Wenn Sie "last" ausführen, werden Datum und Uhrzeit aller Systemneustarts angezeigt. Ganz normal und erwartet.

Um den letzten Neustart anzuzeigen, können Sie Folgendes verwenden:

last reboot | head -1

oder wenn Sie den Neustartverlauf auflisten möchten, verwenden Sie einfach last reboot

Informationen zum Herunterfahren:

last -x|grep shutdown

Was Ihre Bedenken bezüglich sshd betrifft, wird der Dämon gemäß dem Verfahren zum Herunterfahren ebenfalls wie erwartet mit sig 15 beendet.

Michael Steinfeld
quelle
Vielen Dank! Ich habe den Beitrag mit Ihrem Vorschlag aktualisiert. dmesg ist leer.
Mike B