arquivos shadow criados automaticamente em / etc no servidor solaris (SunOS 5.10)

1

No meu servidor Solaris (SunOS 5.10), arquivos de sombra são criados automaticamente a cada 10 minutos para dois usuários específicos em /etc .

O conteúdo dos arquivos é o mesmo que /etc/shadow . Digamos que john e ron sejam dois usuários, então os arquivos serão criados a cada 10 minutos como shadow_john_1404011142 e shadow_ron_1404011142 (onde 1404011142 é a hora atual em que o próximo arquivo estará lá com 1404011152 ). Como faço para matar o processo que está criando esses arquivos?

    
por user3049437 01.04.2014 / 10:15

1 resposta

1

Eu vou inferir que a última frase significa "Como faço para matar encontrar o processo que está criando esses arquivos [para que eu possa matá-lo]?"

Vamos supor que as permissões dos diretórios /, / etc e / etc / shadow do sistema e arquivos sejam normais, algo como:

# ls -ld /
drwxr-xr-x  31 root     root        1024 Sep 30 13:26 /
# ls -ld /etc
drwxr-xr-x  76 root     sys          215 Oct 28 23:05 /etc
# ls -al /etc/shadow
-r--------   1 root     sys          294 Oct 15 16:09 /etc/shadow
# 

Ou seja. somente root pode criar arquivos em / etc e pode ler / etc / shadow, então o processo de criação dos arquivos tem que ter privilégios de root para ler o arquivo / etc / shadow e criar as cópias (uma verificação cruzada sobre isso é se as cópias de / etc / shadow são de propriedade de root).

Isso não é um comportamento normal em um sistema Solaris. Meu primeiro cona selvagem (nem mesmo um SWAG), baseado na regularidade da ocorrência, é que há uma entrada crontab raiz ou uma entrada crontab de usuário com privilégios elevados fazendo isso por alguma razão estranha. Talvez alguma sincronização de senha ad hoc. Se assim for, matá-lo é apenas comentar a entrada crontab (supondo que você ainda quer fazê-lo depois de descobrir mais). Minha segunda suposição é que esta é uma zona e a entrada do crontab fazendo isso está na região global. Nesse caso, você é e deveria ser SOL. Minha terceira sugestão é monitorar o diretório / etc com dtrace e tentar capturar o processo no ato. Como fazer isso é outra questão.

    
por 20.04.2014 / 07:25