¿Cómo rastrear que lo que había "chmod 640" editó el archivo "/ etc / passwd"?

8

En AIX 6100-05-02-1034, algo cambia con frecuencia los permisos del /etc/passwdarchivo a 640. Eso es malo ...

¿Cómo podría rastrear qué está modificando el archivo? No hay history 1000 | fgrep -i chmod, creo que un proceso está modificando el archivo, pero ¿cuál? dtracepuede hacer esto? no está en AIX

LanceBaynes
fuente
¿No deberías estar ansioso chmod, no chown?
cjm
: D no. CHMOD es el derecho.
LanceBaynes

Respuestas:

7

Dtrace sería bueno, pero no está portado en AIX.

Debería poder rastrear lo que está modificando el archivo con auditoría: http://www.ibm.com/developerworks/aix/library/au-audit/

jlliagre
fuente
Puedo ver S_PASSWD_READ y S_PASSWD_WRITE, pero ¿qué debo configurar para rastrear el chowning? Entonces, ¿hay alguna "S_PERMISIÓN"? : D - ty!
LanceBaynes
No tengo un sistema AIX para verificar, pero supongo que FILE_Mode debería ser una buena pista.
jlliagre
0

Al principio, abriría un registro de problemas con IBM, ya que suena como un código roto y debería solucionarse. Personalmente, solo tuve problemas similares con /etc/resolv.conf que otros no pueden leer, y cuando pertenece a root: sistema que podría ser un problema.

El puntero para auditar el subsistema es correcto, aunque el famoso desarrollador-aleatorizador de URL funcionó, y el enlace anterior ya no funciona. Compruebe, por ejemplo, http://www-01.ibm.com/support/knowledgecenter/ssw_aix_61/com.ibm.aix.security/monitor_file_access_realtime.htm o la página archivada: https://web.archive.org/web/20080328022606/ http://www.ibm.com/developerworks/aix/library/au-audit/

Para la selección de eventos, debe intentar con FILE_Write y quizás además FILE_Mode, FILE_Privilege y / o FILE_Acl

doktor5000
fuente