Temos um servidor RHEL6 que foi construído usando uma plataforma de compilação doméstica antiga. A equipe que construiu a plataforma foi dissolvida e todos os membros seguiram em frente. Então, estamos tentando descobrir tudo o que eles fizeram para implementar o antigo "padrão de segurança da empresa".
Sempre que o host é reinicializado, vários arquivos parecem estar sendo sobrescritos (/etc/resolv.conf, /etc/nsswitch.conf, etc). Procuramos no sistema por instâncias das strings nesses arquivos e não podemos encontrá-los. Tanto quanto eu posso dizer, o host não está executando um agente de marionetes (a antiga plataforma foi construída em fantoche). Os anfitriões invocariam o fantoche uma vez para construir configurações de um mestre de marionetes, mas é isso. Não há auditoria de fantoches no lugar.
O NetworkManager não está instalado e o host está executando a configuração de rede estática, portanto, ele não deve estar puxando as informações do DHCP.
Não vejo processos que sejam executados durante a inicialização em /etc/init.d e também verifiquei todos os níveis de execução. Olhando para os logs de inicialização, não vejo mais nada que pareça estar causando o problema.
Como um band-aid, tornei os arquivos imutáveis, e por enquanto isso funciona. Mas ainda não me ajuda se existem outros arquivos que estão sendo alterados e que ainda não notamos. Idealmente, nós reconstruiríamos o host usando o novo sistema de compilação que implementamos, mas isso não é atualmente uma opção (sendo usado como parte de alguma pesquisa em andamento).
Existe alguma maneira de rastrear processos que tentam acessar um arquivo? Ou tente modificar um arquivo? Se eu pudesse fazer isso, eu poderia facilmente rastrear qual processo está sendo executado que modifica as configurações, e também rastrear cada arquivo que está sendo modificado.
Tags audit process-management