Como rastrear que o que “chmod 640” 'ed o arquivo “/ etc / passwd”?

8

No AIX 6100-05-02-1034, algo frequentemente muda as permissões do /etc/passwdarquivo para 640. Isso é ruim ...

Como posso rastrear que o que está chmoding o arquivo? Não há history 1000 | fgrep -i chmod, acho que um processo está modificando o arquivo, mas qual? dtraceposso fazer isso? não está no AIX

aix LanceBaynes
fonte
Você não deveria estar esperando chmod, não é chown?
Cjm
unix.stackexchange.com/questions/6068/…
LanceBaynes
: D não. CHMOD é o certo.
LanceBaynes

Respostas:

7

O Dtrace seria bom, mas não é portado no AIX.

Você deve conseguir rastrear o que está modificando o arquivo com a auditoria: http://www.ibm.com/developerworks/aix/library/au-audit/

jlliagre
fonte
Posso ver S_PASSWD_READ e S_PASSWD_WRITE, mas o que devo definir para rastrear o chowning? então existe alguma "S_PERMISSION"? : D - ty!
LanceBaynes
Não tenho um sistema AIX para verificar, mas acho que FILE_Mode deve ser uma boa pista.
Jlliagre
0

No começo, eu abria um registro de problema com a IBM, pois isso soa como código quebrado e deve ser corrigido. Pessoalmente, só tive problemas semelhantes com o /etc/resolv.conf e também não é legível por outras pessoas, e quando ele pertence ao sistema root: que pode ser um problema.

O ponteiro para o subsistema de auditoria está correto, embora o famoso aleatorizador de URL do developerWorks tenha atingido e o link acima não esteja mais funcionando. Verifique, por exemplo, http://www-01.ibm.com/support/knowledgecenter/ssw_aix_61/com.ibm.aix.security/monitor_file_access_realtime.htm ou a página arquivada: https://web.archive.org/web/20080328022606/ http://www.ibm.com/developerworks/aix/library/au-audit/

Para a seleção do evento, você deve tentar com FILE_Write e talvez FILE_Mode, FILE_Privilege e / ou FILE_Acl

doktor5000
fonte