monitora alterações de permissão de arquivo

Question

monitora alterações de permissão de arquivo

#1 resposta do (8 votos)

7

Como posso descobrir qual processo está alterando as permissões de um arquivo?

em um servidor Debian, tenho o problema de que algo está mudando as permissões em /dev/null todos os dias às 6:20 (desde 3 semanas). Quando defino as permissões corretas, elas são colocadas de volta entre alguns minutos. Então eu configurei novamente e depois que as permissões ficarem corretas até o dia seguinte 6:20. Não importa em que momento eu configurei as permissões.

permissions filesystems

por user1008764 14.08.2014 / 15:12

1 resposta

Tags permissions filesystems

'man' página é muito estreita (não aproveitando o tamanho do terminal) O dpkg está disponível para o Cygwin?

score 8 · Accepted Answer

Instale auditd e execute:

sudo auditctl -a exit,always -F arch=b64 -S fchmod -S chmod -S fchmodat \
  -F path=/dev/null -k dev-null-chmod
sudo auditctl -a exit,always -F arch=b32 -S fchmod -S chmod -S fchmodat \
  -F path=/dev/null -k dev-null-chmod

Você encontrará o culpado na saída de:

sudo ausearch -ik dev-null-chmod

Você verá o nome do comando, pid e pai pid lá. Se o nome do comando for chmod , provavelmente você desejará saber o que executou esse comando. Se o ppid não estiver mais lá, você também poderá monitorar toda a criação do processo e / ou comandos executados com o sistema de auditoria novamente ou com a contabilidade do processo de bsd.