En AIX 6100-05-02-1034, algo cambia con frecuencia los permisos del /etc/passwd
archivo a 640. Eso es malo ...
¿Cómo podría rastrear qué está modificando el archivo? No hay history 1000 | fgrep -i chmod
, creo que un proceso está modificando el archivo, pero ¿cuál? dtrace
puede hacer esto? no está en AIX
chmod
, nochown
?Respuestas:
Dtrace sería bueno, pero no está portado en AIX.
Debería poder rastrear lo que está modificando el archivo con auditoría: http://www.ibm.com/developerworks/aix/library/au-audit/
fuente
Al principio, abriría un registro de problemas con IBM, ya que suena como un código roto y debería solucionarse. Personalmente, solo tuve problemas similares con /etc/resolv.conf que otros no pueden leer, y cuando pertenece a root: sistema que podría ser un problema.
El puntero para auditar el subsistema es correcto, aunque el famoso desarrollador-aleatorizador de URL funcionó, y el enlace anterior ya no funciona. Compruebe, por ejemplo, http://www-01.ibm.com/support/knowledgecenter/ssw_aix_61/com.ibm.aix.security/monitor_file_access_realtime.htm o la página archivada: https://web.archive.org/web/20080328022606/ http://www.ibm.com/developerworks/aix/library/au-audit/
Para la selección de eventos, debe intentar con FILE_Write y quizás además FILE_Mode, FILE_Privilege y / o FILE_Acl
fuente