Come rintracciare ciò che aveva "chmod 640" 'ed il file "/ etc / passwd"?

8

Su AIX 6100-05-02-1034, qualcosa cambia frequentemente le autorizzazioni del /etc/passwdfile su 640. È un male ...

Come posso rintracciare ciò che sta codificando il file? No history 1000 | fgrep -i chmod, penso che un processo stia codificando il file, ma quale? dtracepuoi fare questo? non è su AIX

aix 
LanceBaynes
fonte
Non dovresti essere avaro per chmod, no chown?
cjm,
LanceBaynes
: D no. CHMOD è il diritto.
LanceBaynes,

Risposte:

7

Dtrace sarebbe carino ma non è stato portato su AIX.

Dovresti essere in grado di tracciare ciò che sta codificando il file con il controllo: http://www.ibm.com/developerworks/aix/library/au-audit/

jlliagre
fonte
Posso vedere S_PASSWD_READ e S_PASSWD_WRITE, ma cosa devo impostare per tracciare l'abbigliamento? quindi ci sono "S_PERMISSION"? : D - ty!
LanceBaynes,
Non ho un sistema AIX da controllare ma immagino che FILE_Mode dovrebbe essere un buon indizio.
jlliagre,
0

Inizialmente avrei aperto un record di problemi con IBM in quanto sembra un codice non funzionante e dovrebbe essere risolto. Personalmente ho avuto solo problemi simili con /etc/resolv.conf, inoltre non leggibile da altri, e quando appartiene a root: il sistema potrebbe essere un problema.

Il puntatore al controllo del sottosistema è corretto, anche se il famoso randomizzatore di URL di Developerworks ha colpito e il collegamento sopra non funziona più. Controllare ad esempio http://www-01.ibm.com/support/knowledgecenter/ssw_aix_61/com.ibm.aix.security/monitor_file_access_realtime.htm o la pagina archiviata: https://web.archive.org/web/20080328022606/ http://www.ibm.com/developerworks/aix/library/au-audit/

Per la selezione dell'evento, dovresti provare con FILE_Write e forse in aggiunta FILE_Mode, FILE_Privilege e / o FILE_Acl

doktor5000
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.