Como rastrear o que tinha “chmod 640” o arquivo “/ etc / passwd”?

8

No AIX 6100-05-02-1034, algo está alterando frequentemente as permissões do arquivo /etc/passwd para 640. Isso é ruim ...

Como eu poderia rastrear o que está chmodando o arquivo? Não há history 1000 | fgrep -i chmod , acho que um processo é chmoding do arquivo, mas qual deles? dtrace pode fazer isso? não está no AIX

    
por LanceBaynes 25.09.2011 / 05:22

2 respostas

7

O Dtrace seria legal, mas não é portado no AIX.

Você deve ser capaz de rastrear o que está chmodeando o arquivo com a auditoria: link

    
por 25.09.2011 / 09:24
0

No começo, eu abria um registro de problema com a IBM, já que isso soa como código quebrado e deveria ser corrigido. Eu pessoalmente só tive problemas similares com o /etc/resolv.conf que também não pode ser lido por outros, e quando ele pertence ao root: system que pode ser um problema.

O ponteiro para o subsistema de auditoria está correto, embora o famoso randomizador de URL da developerworks tenha sido atingido e o link acima não esteja mais funcionando. Verifique por exemplo link ou a página arquivada: link

Para a seleção de eventos, você deve tentar com FILE_Write e talvez, além disso, FILE_Mode, FILE_Privilege e / ou FILE_Acl

    
por 07.09.2014 / 18:12

Tags