Как отследить то, что «chmod 640» редактировало в файле «/ etc / passwd»?

8

В AIX 6100-05-02-1034 что-то часто меняет права доступа к /etc/passwdфайлу на 640. Это плохо ...

Как я могу отследить то, что chmoding файл? Нет history 1000 | fgrep -i chmod, я думаю, что процесс chmoding файл, но какой? dtraceможет это сделать? это не на AIX

aix 
LanceBaynes
источник
Разве ты не должен быть опрометчивым chmod, не так chownли?
CJM
LanceBaynes,
: D нет. CHMOD это право.
LanceBaynes

Ответы:

7

Dtrace был бы хорош, но он не портирован на AIX.

Вы должны быть в состоянии отследить, что изменяет файл с помощью аудита: http://www.ibm.com/developerworks/aix/library/au-audit/

jlliagre
источник
Я могу видеть S_PASSWD_READ и S_PASSWD_WRITE, но что я должен установить для отслеживания сгущения? так есть ли "S_PERMISSION"? : D - ты!
LanceBaynes
У меня нет системы AIX для проверки, но я думаю, что FILE_Mode должна быть хорошей подсказкой.
июля
0

Сначала я открыл бы запись проблемы с IBM, поскольку это звучит как неработающий код и должно быть исправлено. Лично у меня были только похожие проблемы с /etc/resolv.conf, который также не читался другими, и когда он принадлежит root: system, это может быть проблемой.

Указатель на подсистему аудита правильный, хотя ударил известный URL-рандомизатор developerworks, и указанная выше ссылка больше не работает. Посмотрите, например, http://www-01.ibm.com/support/knowledgecenter/ssw_aix_61/com.ibm.aix.security/monitor_file_access_realtime.htm или архивную страницу: https://web.archive.org/web/20080328022606/ http://www.ibm.com/developerworks/aix/library/au-audit/

Для выбора события вы должны попробовать с FILE_Write и, возможно, дополнительно FILE_Mode, FILE_Privilege и / или FILE_Acl

doktor5000
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.