monitora alterações de permissão de arquivo

7

Como posso descobrir qual processo está alterando as permissões de um arquivo?

em um servidor Debian, tenho o problema de que algo está mudando as permissões em /dev/null todos os dias às 6:20 (desde 3 semanas). Quando defino as permissões corretas, elas são colocadas de volta entre alguns minutos. Então eu configurei novamente e depois que as permissões ficarem corretas até o dia seguinte 6:20. Não importa em que momento eu configurei as permissões.

    
por user1008764 14.08.2014 / 15:12

1 resposta

8

Instale auditd e execute:

sudo auditctl -a exit,always -F arch=b64 -S fchmod -S chmod -S fchmodat \
  -F path=/dev/null -k dev-null-chmod
sudo auditctl -a exit,always -F arch=b32 -S fchmod -S chmod -S fchmodat \
  -F path=/dev/null -k dev-null-chmod

Você encontrará o culpado na saída de:

sudo ausearch -ik dev-null-chmod

Você verá o nome do comando, pid e pai pid lá. Se o nome do comando for chmod , provavelmente você desejará saber o que executou esse comando. Se o ppid não estiver mais lá, você também poderá monitorar toda a criação do processo e / ou comandos executados com o sistema de auditoria novamente ou com a contabilidade do processo de bsd.

    
por 14.08.2014 / 15:53