Como encontro qual processo está fazendo com que um arquivo perca suas permissões? [duplicado]

2

Ontem, um dos nossos servidores estava com um problema, e o arquivo /etc/init.d/nfs-kernel-server perdeu as permissões, eles foram relatados como apenas ------------ . Definir as permissões de volta para o mesmo que os outros arquivos resolveu o problema, e estou querendo agora depurar o que aconteceu. Existe alguma maneira de obter um registro de quando as permissões de arquivos foram alteradas e por quê?

    
por TMH 09.01.2017 / 01:03

1 resposta

4

Não há log padrão para esses tipos de ações, você precisa configurá-lo com antecedência.

Você pode usar o auditd e configurá-lo para procure por alterações nos arquivos que você está encontrando com suas permissões alteradas. Você pode então encontrar informações sobre quais usuários e processos alteraram quais arquivos.

Por exemplo, você poderia fazer algo parecido com este ad-hoc:

auditctl -w /etc/init.d/nfs-kernel-server -k nfs-kernel-server

Você também pode adicionar isso a /etc/audit/audit.rules para uso a longo prazo:

cat > /etc/audit/audit.rules << 'EOF'
-w /etc/init.d/nfs-kernel-server
EOF

Depois disso, você precisa iniciar e ativar o auditd. Na maioria das distribuições systemd, isso pode ser feito da seguinte forma:

systemctl enable auditd
systemctl start auditd

Para sistemas não-systemd, você desejará consultar sua documentação, mas provavelmente é um serviço chamado "auditd".

Depois disso, você pode consultar os logs em /var/log/audit/audit.log ou sempre que o auditd estiver configurado para registrar. Você verá resultados como este:

type=SYSCALL msg=audit(1349582090.742:414): arch=c000003e syscall=268 success=yes exit=0 a0=ffffffffffffff9c a1=17be0f0 a2=1ff a3=4000 items=1 ppid=2859 pid=3069 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=2 comm="chmod" exe="/usr/bin/chmod" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)
type=CWD msg=audit(1349582090.742:414):  cwd="/root"
type=PATH msg=audit(1349582090.742:414): item=0 name="/var/www/html/1" inode=6171184 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00 obj=unconfined_u:object_r:httpd_sys_content_t:s0
    
por 09.01.2017 / 01:10