A permissão de um determinado diretório chamado 11203 foi alterado duas vezes porque o aplicativo hospedado encontrou alguns problemas.
Quando usei o comando:
ausearch -i |grep chmod |grep 11203
Eu tenho o resultado abaixo
type=USER_CMD msg=audit(12/16/2014 17:15:36.201:68342) : user pid=19247 uid=enginst auid=enginst ses=4229 msg='cwd=/apps/oradump/ora_temp_rdbms/OH3 cmd=chmod -R 777 11203 terminal=pts/2 res=success'
type=USER_CMD msg=audit(12/16/2014 17:36:33.968:68753) : user pid=1801 uid=enginst auid=enginst ses=4229 msg='cwd=/apps/oracle/RDBMS cmd=chmod -R 777 11203 terminal=pts/2 res=success'
Embora eu possa entender um pouco a saída acima, ainda tenho poucas perguntas.
O acima diz que o comando chmod foi executado pelo usuário como um comando direto no terminal, ou poderia ser iniciado por algum processo que foi iniciado por usuário enginst?
Ambos os pid's no resultado não são encontrados nas saídas "ps aux". Foram esses pid's o pid do comando "chmod"?
O que pode ser feito para ativar mais registros, para que esse problema possa ser solucionado.
Eu iniciei o processo psacct, assumindo que ele terá registros de qual processo o pid se referiu e assim por diante.
Encontrado em outro link que o comando abaixo nos dará informações sobre o pid, mesmo que o processo já tenha sido concluído e não esteja na saída "ps aux".
dump-acct /var/account/pacct | awk -F '|' '$10 ~ / 31652 / {print}'
Mas isso não parece ser o caso, já que eu não obtive nenhum resultado para o comando acima, mesmo depois de dar um pid válido (pid do processo que está completo)
Alguém pode esclarecer? Obrigado.
Tags chmod logs dump audit linux-audit