getty auf console - gehackt oder normaler output?

[Verstehtmalviedernix]

Habe ich ein Problem und ist mein system gehackt oder ist folgendes normal?
Opensuse 12.3, 64 auf einem Notebook. Ich habe of martian sources von außerhalb und bin deshalb ziemlich wachsam. Ich wurde auf den syslog aufmerksam der auf einmal von getty sprach. Daher:

every@linux-cfm:~> who -a /var/run/utmp
           avvio di sistema 2013-06-06 07:42
           run-level 5  2013-06-06 07:43
ACCESSO    tty1         2013-06-06 07:43              1424 id=tty1
every ? :0           2013-06-06 07:43   ?          2213 (console)
every + pts/1        2013-06-06 07:44 05:13        2368
amba ? :1           2013-06-06 07:47   ?          3165 (localhost)
amba + pts/3        2013-06-06 07:47 05:09        3314
           pts/4        2013-06-06 11:38              7291 id=/4    term=0 exit=0
ACCESSO    tty4         2013-06-06 11:38              8172 id=tty4
ACCESSO    tty3         2013-06-06 11:38              8174 id=tty3
ACCESSO    tty5         2013-06-06 12:02              9254 id=tty5
ACCESSO    tty6         2013-06-06 12:02              9255 id=tty6
every - pts/5        2013-06-06 12:43   .         10576

Nun benutze ich openVPN um mich zu verbinden, habe einen router zwischen dem Modem und mir. Aber getty kann ich mir so nicht erklären. Das sollten zwars locale ports sein, aber wie kann ich herausfinden warum auf einmal getty läuft?? Ich habe diese Einträge jedenfalls noch nie gesehen. Ich have zwei user (every und amba) auf dem system, nur local. Kein ssh, kein remote login erlaubt, keine Virtualisierung. Und das wars. Beide Sitzungen sind KDE. Ksystemlog läuft. Das könnte tty1 sein?? Würde das Programm agetty brauchen?
Deswegen wollte ich fragen, habe ich da ein Problem?

ps a | grep getty
 1424 tty1     Ss+    0:00 /sbin/agetty --noclear tty1 38400 linux
 8172 tty4     Ss+    0:00 /sbin/agetty --noclear tty4 38400 linux
 8174 tty3     Ss+    0:00 /sbin/agetty --noclear tty3 38400 linux
 9254 tty5     Ss+    0:00 /sbin/agetty --noclear tty5 38400 linux
 9255 tty6     Ss+    0:00 /sbin/agetty --noclear tty6 38400 linux
10529 pts/5    S+     0:00 grep --color=auto getty

oder ist der output für opensuse 12.3 normal (vielleicht wegen systemd??).
Verzeihung das ich frage aber das würde ich schon gerne verstehen. Wie kann ich feststellen ob dies nur problemlose locale Verbindungen sind?

Hoffe das ist nicht zu ignorat für diesen Teil des Forums. :???: Danke im vorraus.

 

[marce]

ich hab zwar gerade kein OS hier - aber ads irgendeine Form von getty läuft ist völlig normal - das sind normalerweise die Konsolen, die Du mit STRG-ALT-[F1 bis F6] erreichst.

 

[Verstehtmalviedernix]

Jedenfalls habe ich folgedes festgestellt: bei gleichem(!) gebrauch von Software und OS sind die getty prozesse "verschwunden" seit ich: a) die IP adresse des routers geändert habe, den hostname des Systems geändert habe und die IP addresse des routers auch jede zwei Tage wieder ändere (das ist die Zeit die notwendig ist befor neue "martian sources" auf meinem log auftauchen. Das System werde ich also auf jeden fall neu aufsetzen. Und agettz sollte auf einem System ohne offene konsolen das nur KDE laufen hat afaik nicht am laufen sein. Jedenfalls läuft es jetzt ohne diese.

 

[spoensche]

Laufen auf deinem Laptop irgendwelche Server Dienste, die von aussen erreichbar sein sollen?

Poste mal die Ausgabe von

egrep -i "ssh|pam|auth|fail" /var/log/warn
lastlog # Wann war welcher User das letzte mal angemeldet
netstat -tulpn
egrep "(DROP|ACCEPT).*IN" /var/log/firewall
lsof -i
ss -i

 

[Verstehtmalviedernix]

Server: das Ziel dieses Laptops ist eigentlich von aussen nicht erreicht zu werden. Ich benutze allerdings Jitsi (voip application) die aber auch jetzt läuft und all dies agetty Processe sind nicht festzustellen.
Samba ist nicht installiert, alle "rdc" oder remote packages sind nicht installiert, noch nicht mal VNC ist installiert. Avahi ist nicht installiert. Ich brauche weder Samba, noch Avahi, noch brauche ich CUPS über das Netz. Ich brauche POP, openVPN, webapplications wie den Browser und VOIP/Jitsi (das ich sowieso mit OTR und nur als online-chat (functioniert nicht gut mit camera und voice) benutze. Ich mache kein file-sharing. Ich benutze manchmal tor mit privoxy wobei tor nicht als daemon läuft sondern als user über die CLI gestarted wird. Ich habe das mal ausprobiert, das gibt nicht diese agetty Prozesse. Alle Pakete ausser Jitsi sind aus den repos, das von Jitsi ist von jitsi org über https.

egrep "(DROP|ACCEPT).*IN" /var/log/firewall
2013-05-20T17:01:26.573164+02:00 linux-cfm9 kernel: [  316.658911] SFW2-INext-DROP-DEFLT IN=tun0 OUT= MAC= SRC=80.254.76.204 DST=80.254.76.183 LEN=58 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=51413 DPT=51413 LEN=38 
2013-05-20T17:01:29.569186+02:00 linux-cfm9 kernel: [  319.649300] SFW2-INext-DROP-DEFLT IN=tun0 OUT= MAC= SRC=80.254.76.204 DST=80.254.76.183 LEN=58 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=51413 DPT=51413 LEN=38 
2013-05-20T17:01:35.634201+02:00 linux-cfm9 kernel: [  325.703982] SFW2-INext-DROP-DEFLT IN=tun0 OUT= MAC= SRC=80.254.76.204 DST=80.254.76.183 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=54899 DF PROTO=TCP SPT=51304 DPT=51413 WINDOW=7300 RES=0x00 SYN URGP=0 OPT (020405570402080AFFFFAF280000000001030300) 
2013-05-20T17:06:27.843198+02:00 linux-cfm9 kernel: [  617.410912] SFW2-INext-DROP-DEFLT IN=tun0 OUT= MAC= SRC=80.254.76.204 DST=80.254.76.183 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=21359 DF PROTO=TCP SPT=37193 DPT=51413 WINDOW=7300 RES=0x00 SYN URGP=0 OPT (020405570402080A0000CC700000000001030300) 
2013-05-20T17:06:28.740243+02:00 linux-cfm9 kernel: [  618.306348] SFW2-INext-DROP-DEFLT IN=tun0 OUT= MAC= SRC=80.254.76.204 DST=80.254.76.183 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=21360 DF PROTO=TCP SPT=37193 DPT=51413 WINDOW=7300 RES=0x00 SYN URGP=0 OPT (020405570402080A0000CD6A0000000001030300) 
2013-05-20T17:06:30.744190+02:00 linux-cfm9 kernel: [  620.306991] SFW2-INext-DROP-DEFLT IN=tun0 OUT= MAC= SRC=80.254.76.204 DST=80.254.76.183 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=21361 DF PROTO=TCP SPT=37193 DPT=51413 WINDOW=7300 RES=0x00 SYN URGP=0 OPT (020405570402080A0000CF5F0000000001030300) 
2013-05-20T17:06:34.745281+02:00 linux-cfm9 kernel: [  624.300841] SFW2-INext-DROP-DEFLT IN=tun0 OUT= MAC= SRC=80.254.76.204 DST=80.254.76.183 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=21362 DF PROTO=TCP SPT=37193 DPT=51413 WINDOW=7300 RES=0x00 SYN URGP=0 OPT (020405570402080A0000D3480000000001030300) 
2013-05-20T17:06:42.996198+02:00 linux-cfm9 kernel: [  632.538144] SFW2-INext-DROP-DEFLT IN=tun0 OUT= MAC= SRC=80.254.76.204 DST=80.254.76.183 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=21363 DF PROTO=TCP SPT=37193 DPT=51413 WINDOW=7300 RES=0x00 SYN URGP=0 OPT (020405570402080A0000DB1C0000000001030300) 
2013-05-20T17:10:31.255160+02:00 linux-cfm9 kernel: [  860.404162] SFW2-INext-DROP-DEFLT IN=tun0 OUT= MAC= SRC=80.254.76.204 DST=80.254.76.183 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=50038 DF PROTO=TCP SPT=57048 DPT=51413 WINDOW=7300 RES=0x00 SYN URGP=0 OPT (020405570402080A0001BA3F0000000001030300) 
2013-05-20T17:10:32.250275+02:00 linux-cfm9 kernel: [  861.397546] SFW2-INext-DROP-DEFLT IN=tun0 OUT= MAC= SRC=80.254.76.204 DST=80.254.76.183 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=50039 DF PROTO=TCP SPT=57048 DPT=51413 WINDOW=7300 RES=0x00 SYN URGP=0 OPT (020405570402080A0001BB390000000001030300) 
2013-05-20T17:10:34.255259+02:00 linux-cfm9 kernel: [  863.399307] SFW2-INext-DROP-DEFLT IN=tun0 OUT= MAC= SRC=80.254.76.204 DST=80.254.76.183 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=50040 DF PROTO=TCP SPT=57048 DPT=51413 WINDOW=7300 RES=0x00 SYN URGP=0 OPT (020405570402080A0001BD2E0000000001030300) 
2013-05-20T17:10:38.275179+02:00 linux-cfm9 kernel: [  867.411755] SFW2-INext-DROP-DEFLT IN=tun0 OUT= MAC= SRC=80.254.76.204 DST=80.254.76.183 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=50041 DF PROTO=TCP SPT=57048 DPT=51413 WINDOW=7300 RES=0x00 SYN URGP=0 OPT (020405570402080A0001C1180000000001030300) 
2013-05-20T17:10:46.276265+02:00 linux-cfm9 kernel: [  875.399632] SFW2-INext-DROP-DEFLT IN=tun0 OUT= MAC= SRC=80.254.76.204 DST=80.254.76.183 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=50042 DF PROTO=TCP SPT=57048 DPT=51413 WINDOW=7300 RES=0x00 SYN URGP=0 OPT (020405570402080A0001C8EC0000000001030300) 
2013-05-20T17:40:31.122182+02:00 linux-cfm9 kernel: [ 2657.175960] SFW2-INext-DROP-DEFLT IN=tun0 OUT= MAC= SRC=80.254.76.204 DST=80.254.76.183 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=24599 DF PROTO=TCP SPT=44946 DPT=51413 WINDOW=7300 RES=0x00 SYN URGP=0 OPT (020405570402080A000897CC0000000001030300) 
2013-05-20T17:40:32.191197+02:00 linux-cfm9 kernel: [ 2658.243467] SFW2-INext-DROP-DEFLT IN=tun0 OUT= MAC= SRC=80.254.76.204 DST=80.254.76.183 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=24600 DF PROTO=TCP SPT=44946 DPT=51413 WINDOW=7300 RES=0x00 SYN URGP=0 OPT (020405570402080A000898C60000000001030300) 
2013-05-20T17:40:34.316261+02:00 linux-cfm9 kernel: [ 2660.364555] SFW2-INext-DROP-DEFLT IN=tun0 OUT= MAC= SRC=80.254.76.204 DST=80.254.76.183 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=24601 DF PROTO=TCP SPT=44946 DPT=51413 WINDOW=7300 RES=0x00 SYN URGP=0 OPT (020405570402080A00089ABB0000000001030300) 
2013-05-20T17:40:38.089192+02:00 linux-cfm9 kernel: [ 2664.131388] SFW2-INext-DROP-DEFLT IN=tun0 OUT= MAC= SRC=80.254.76.204 DST=80.254.76.183 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=24602 DF PROTO=TCP SPT=44946 DPT=51413 WINDOW=7300 RES=0x00 SYN URGP=0 OPT (020405570402080A00089EA40000000001030300) 
2013-05-20T17:40:46.010273+02:00 linux-cfm9 kernel: [ 2672.038795] SFW2-INext-DROP-DEFLT IN=tun0 OUT= MAC= SRC=80.254.76.204 DST=80.254.76.183 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=24603 DF PROTO=TCP SPT=44946 DPT=51413 WINDOW=7300 RES=0x00 SYN URGP=0 OPT (020405570402080A0008A6780000000001030300) 
2013-05-29T20:59:14.721840+02:00 linux-cfm9 kernel: [ 7404.568385] SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=5c:ff:35:06:cd:99:c8:d7:19:89:00:05:08:00 SRC=192.168.1.2 DST=192.168.1.100 LEN=332 TOS=0x00 PREC=0x00 TTL=64 ID=5456 PROTO=UDP SPT=67 DPT=68 LEN=312 
2013-06-04T18:46:48.506923+02:00 linux-cfm9 kernel: [  283.829526] SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=5c:ff:35:06:cd:99:c8:d7:19:89:00:05:08:00 SRC=192.168.123.8 DST=192.168.123.100 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=34127 LEN=43 
2013-06-04T18:47:19.841936+02:00 linux-cfm9 kernel: [  315.110939] SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=5c:ff:35:06:cd:99:c8:d7:19:89:00:05:08:00 SRC=192.168.123.8 DST=192.168.123.100 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=38883 LEN=43 
2013-06-04T18:47:59.595039+02:00 linux-cfm9 kernel: [  354.795224] SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=5c:ff:35:06:cd:99:c8:d7:19:89:00:05:08:00 SRC=192.168.123.8 DST=192.168.123.100 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=42186 LEN=43 
2013-06-04T18:48:39.641992+02:00 linux-cfm9 kernel: [  394.773250] SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=5c:ff:35:06:cd:99:c8:d7:19:89:00:05:08:00 SRC=192.168.123.8 DST=192.168.123.100 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=43468 LEN=43 
2013-06-06T18:53:11.485896+02:00 linux-cfm9 kernel: [  708.926238] SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=5c:ff:35:06:cd:99:c8:d7:19:89:00:05:08:00 SRC=192.168.123.8 DST=192.168.123.100 LEN=332 TOS=0x00 PREC=0x00 TTL=64 ID=38632 PROTO=UDP SPT=67 DPT=68 LEN=312 
2013-06-07T09:47:17.921815+02:00 linux-cfm9 kernel: [ 8750.642481] SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=5c:ff:35:06:cd:99:c8:d7:19:89:00:05:08:00 SRC=192.200.140.6 DST=192.200.140.100 LEN=330 TOS=0x00 PREC=0x00 TTL=64 ID=35618 PROTO=UDP SPT=67 DPT=68 LEN=310 
2013-06-07T09:59:09.825127+02:00 linux-cfm9 kernel: [ 9461.320680] SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=5c:ff:35:06:cd:99:c8:d7:19:89:00:05:08:00 SRC=192.200.140.6 DST=192.200.140.100 LEN=330 TOS=0x00 PREC=0x00 TTL=64 ID=35620 PROTO=UDP SPT=67 DPT=68 LEN=310

Das erste was ich nicht verstehe: ich habe UDP im router gefiltert/deaktiviert (dd-wrt) Firewall extern, intern nichts ist offen. Auch in jitsi ist UDP nicht activiert. Habe aber UDP hier. Dasselbe ist es mit IPv6. Habe IPv6 im router nicht activiert, im openVPN setup ist IPV6 auch deactiviert, im Networkmangersetup ist IPv6 deactiviert. Aber hier in dem command das du mir gibst, kommt es mit listen??? Ich bin nicht gut in networken, aber wieso ist IPv6 immer noch am laufen?

 

[Verstehtmalviedernix]

lsof -i
COMMAND    PID    USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
systemd      1    root   16u  IPv6   9742      0t0  TCP *:ipp (LISTEN)
systemd      1    root   19u  IPv4   9743      0t0  UDP *:ipp 
ntpd      1699     ntp   16u  IPv4  12902      0t0  UDP *:ntp 
ntpd      1699     ntp   17u  IPv6  12903      0t0  UDP *:ntp 
ntpd      1699     ntp   18u  IPv4  13899      0t0  UDP localhost:ntp 
ntpd      1699     ntp   20u  IPv4  17014      0t0  UDP scheggia:ntp 
ntpd      1699     ntp   21u  IPv4  17227      0t0  UDP 80-254-76-181.dynamic.swissvpn.net:ntp 
dhclient  2733    root    6u  IPv4  16186      0t0  UDP *:bootpc 
dhclient  2733    root   20u  IPv4  16861      0t0  UDP *:csccredir 
dhclient  2733    root   21u  IPv6  16862      0t0  UDP *:47998 
privoxy   2873 privoxy    4u  IPv4  17004      0t0  TCP localhost:privoxy (LISTEN)
nm-openvp 2901    root    6u  IPv4  19458      0t0  TCP localhost:54577->localhost:openvpn (ESTABLISHED)
openvpn   2912    root    4u  IPv4  19301      0t0  TCP localhost:openvpn (LISTEN)
openvpn   2912    root    5u  IPv4  17125      0t0  TCP localhost:openvpn->localhost:54577 (ESTABLISHED)
openvpn   2912    root    6u  IPv4  19302      0t0  TCP scheggia:60243->zrh1-vpn16-em0.monzoon.net:https (ESTABLISHED)
Xorg      3564    root    1u  IPv6  34624      0t0  TCP *:6001 (LISTEN)
Xorg      3564    root    3u  IPv4  34625      0t0  TCP *:6001 (LISTEN)

DNS addresse ist so eingerichted das sie über den Router bezogen wird, im Router selbst sind drei DNS server eingetragen. Das funktioniert einwandfrei so wie es scheint.
Ich habe als printer einen Lexmark den ich local über usb ansteuere. Ich habe das setting so eingestellt das keine Anfragen auf cups akzeptiert werden sollen (aus dem Netzwerk). Der Drucker ist auch nicht über das Netzwerk freigegeben. Warum ist dan IPP (das ja der Drucker ist AFAIK) dann auf "Listen" und auf IPv6. Ich habe IPv6 deactiviert und UDP sollte auch nicht laufen..... Das hat zwar wahrscheinlich nichts mit dem ursprünglichen Problem zu tun, aber trotzdem.

 

[Verstehtmalviedernix]

egrep -i "ssh|pam|auth|fail" /var/log/warn
(geht out ouf range, wegen der Langen Liste).
http://paste.opensuse.org/bc484e6e

ss - und lsof:
http://paste.opensuse.org/5418b7bf

lastlog # Wann war welcher User das letzte mal angemeldet
Username         Port     From             Latest
at                                         **Never logged in**
bin                                        **Never logged in**
daemon                                     **Never logged in**
dnsmasq                                    **Never logged in**
ftp                                        **Never logged in**
games                                      **Never logged in**
gdm                                        **Never logged in**
kdm                                        **Never logged in**
lp                                         **Never logged in**
mail                                       **Never logged in**
man                                        **Never logged in**
messagebus                                 **Never logged in**
mysql                                      **Never logged in**
news                                       **Never logged in**
nobody                                     **Never logged in**
ntp                                        **Never logged in**
polkitd                                    **Never logged in**
privoxy                                    **Never logged in**
pulse                                      **Never logged in**
root             tty1                      Wed Jun  5 16:54:20 +0200 2013
rtkit                                      **Never logged in**
scard                                      **Never logged in**
sshd                                       **Never logged in**
statd                                      **Never logged in**
tftp                                       **Never logged in**
tor                                        **Never logged in**
usbmux                                     **Never logged in**
uucp                                       **Never logged in**
amba      :1       localhost        Sun Jun  9 20:29:10 +0200 2013
every   :0       console          Sun Jun  9 20:02:30 +0200 2013
pirat            :2       localhost        Fri Jun  7 17:24:02 +0200 2013

Der user Pirat wurde später aufgesetzt um zu sehen ob und was sich ändert wenn ich mit einem neuem User einlogge. Danach nie mehr benutzt.
Bemerkungen: ich habe nie von aussen als root eingeloggt. Das einzige was ich benutze und das jeden log-in ist ksystemlog. Warum also root / tty1?
amba, every und pirat sind locale benutzer. Warum erscheint mir every als console? (Dann lerne ich endlich mal diese Eigenheiten zu verstehen. Der user every ist für surf, amba für post etc. Root loging ist verboten für ssh und ssh ist im Firewall blokiert, der port auf eine hohe portnummer geändert. rkhunter und chkrootkit sind aktiviert, aber rkhunter hat in der config "norootlogin" genauso wie in der sshconfig. Die können / sollten es also nicht sein. Package kit / apper is deaktiviert, software wird nur über yast verwaltet (und zypper, allerdings nicht in der letzten Zeit).
Es gibt seit diesen Vorfällen folgende probleme: das System fährt oft ohne network hoch ("network manager läuft nicht"). Das System erkennt auf einmal die Soundkarte nicht und läd einen stummen "Dummy". Apparmor funktioniert nicht mehr normal, profile werden nicht upgedated und Firefox funktionierte schon gar nicht mehr wenn sein Apparmor profil auf enforce geschaltet war. Der dd-wrt router (mit starkem Password, nur über https zu erreichen und mit deaktiviertem Wan webinterface) verbindet sich auf einmal nicht mehr automatisch wenn das "bridged modem" angeschlossen wird, sonder nur noch wenn man einlogged und connect drückt. Wlan ist im router deaktiviert und wird auch mit dem Laptop nicht benutzt.

 

[spoensche]

Xorg      3564    root    1u  IPv6  34624      0t0  TCP *:6001 (LISTEN)
Xorg      3564    root    3u  IPv4  34625      0t0  TCP *:6001 (LISTEN)

Du hast den X-Server von aussen erreichbar gemacht, also quasi zum Terminalserver und das solltest du schleunigst rückgängig machen. Per default wird der X-Server mit der Option -nolisten tcp gestartet. Du hast mehrere gettys gestartet, weil neben dem User pirat auch die User every und amba eine X-Session gestartet hatten.

Protokolle sind immer aktiviert. Wie du aber siehst werden UDP Verbindungen von deiner Firewall geblockt. Einen Proxy (Privoxy), der nur lokal läuft ist nicht wirklich sinnvoll.

Fazit: Du hast ein paar Konfigurationsfehler, wobei der von aussen erreichbare X-Server der gefährlichste und gravierendste Fehler ist,

 

[Verstehtmalviedernix]

Vielen Dank für deine Antwort. Ich habe den X-server nicht erreichbar gemacht, jedenfalls nicht intentional. Wie kann ich das rückgängig machen? Privoxy läuft da ich über ihn tor laufen lasse. Ist das nicht mehr sinnvoll?
Wie kann es passiert sein das der X-server auf listen steht? Nur damit mir das nicht noch einmal passiert.

 

[Verstehtmalviedernix]

:schockiert: Habe noch mal alles abgeklopft. Ich verstehe nicht wie ich es (ohne irgendetwas am system zu verändern), den X-server von aussen erreichbar gemacht habe.
xdm-config ist unverändert
securetty verweißt auf PAM, war unverändert aber zur Sicherheit habe ich alle terminals jetzt dort auskommentiert. PAM wurde von mir nicht verändert, Permissions sind secure-local und da hat es sich auch schon.
Änderungen an X-server wurden von mir NICHT vorgenommen. Also muß es wenn überhaupt ein Programm gewesen sein das dies gemacht hat.
trusted x forward = no
rootlogin = no
alles ist auf nicht erreichbar. Und doch ist x auf listen. Hilfe, ich finde mit dem PAM Wirrwar die Einstellung nicht. :???:

 

[Verstehtmalviedernix]

commando zurück, vielleicht hat die letzte Änderung Erfolg gebracht.

lsof -i
COMMAND     PID    USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
systemd       1    root   16u  IPv6  10214      0t0  TCP *:ipp (LISTEN)
systemd       1    root   19u  IPv4  10215      0t0  UDP *:ipp 
ntpd       1748     ntp   16u  IPv4  14572      0t0  UDP *:ntp 
ntpd       1748     ntp   17u  IPv6  14573      0t0  UDP *:ntp 
ntpd       1748     ntp   18u  IPv4  11772      0t0  UDP localhost:ntp 
ntpd       1748     ntp   20u  IPv4 257413      0t0  UDP scheggia:ntp 
ntpd       1748     ntp   21u  IPv4 260587      0t0  UDP 109-205-170-75.dynamic.swissvpn.net:ntp 
dhclient  10346    root    6u  IPv4 255900      0t0  UDP *:bootpc 
dhclient  10346    root   20u  IPv4 255890      0t0  UDP *:49914 
dhclient  10346    root   21u  IPv6 255891      0t0  UDP *:18650 
privoxy   10502 privoxy    4u  IPv4 257408      0t0  TCP localhost:privoxy (LISTEN)
nm-openvp 10540    root    6u  IPv4 259409      0t0  TCP localhost:50005->localhost:openvpn (ESTABLISHED)
openvpn   10547    root    4u  IPv4 260488      0t0  TCP localhost:openvpn (LISTEN)
openvpn   10547    root    5u  IPv4 258343      0t0  TCP localhost:openvpn->localhost:50005 (ESTABLISHED)
openvpn   10547    root    6u  IPv4 258344      0t0  TCP scheggia:54540->zrh1-vpn21-em0.monzoon.net:https (ESTABLISHED)

Bleibt die Frage warum ich mit der Hand diese Änderungen vornehmen mußte denn ich habe nichts(!) an den Xserver-settings geändert. Es gab bei mir aber einen mesa update letzte Woche (den 6ten Juni) mit Version 9.0.2-34.16.1x86_64 der das gewesen sein könnte. Und am 5ten war es KDM mit 4.10.3. Jedenfalls habe ich am Xserver nicht rumgespielt. Nehme aber gerne jeden Rat an was das ausgelößt haben könnte.
Das Problem lag also im fehlenden Eintrag von:
ServerArgsLocal=-nolisten tcp
in den Dateien /usr/KDE4/config/kdm/kdmrc und kdmrc.rpmnew.