Eu vou inferir que a última frase significa "Como faço para
Vamos supor que as permissões dos diretórios /, / etc e / etc / shadow do sistema e arquivos sejam normais, algo como:
# ls -ld / drwxr-xr-x 31 root root 1024 Sep 30 13:26 / # ls -ld /etc drwxr-xr-x 76 root sys 215 Oct 28 23:05 /etc # ls -al /etc/shadow -r-------- 1 root sys 294 Oct 15 16:09 /etc/shadow #
Ou seja. somente root pode criar arquivos em / etc e pode ler / etc / shadow, então o processo de criação dos arquivos tem que ter privilégios de root para ler o arquivo / etc / shadow e criar as cópias (uma verificação cruzada sobre isso é se as cópias de / etc / shadow são de propriedade de root).
Isso não é um comportamento normal em um sistema Solaris. Meu primeiro cona selvagem (nem mesmo um SWAG), baseado na regularidade da ocorrência, é que há uma entrada crontab raiz ou uma entrada crontab de usuário com privilégios elevados fazendo isso por alguma razão estranha. Talvez alguma sincronização de senha ad hoc. Se assim for, matá-lo é apenas comentar a entrada crontab (supondo que você ainda quer fazê-lo depois de descobrir mais). Minha segunda suposição é que esta é uma zona e a entrada do crontab fazendo isso está na região global. Nesse caso, você é e deveria ser SOL. Minha terceira sugestão é monitorar o diretório / etc com dtrace e tentar capturar o processo no ato. Como fazer isso é outra questão.