如何跟踪“ / etc / passwd”文件中“ chmod 640”的内容?

8

在AIX 6100-05-02-1034上,经常将/etc/passwd文件的权限更改为640。这很糟糕。

我如何跟踪正在修改文件的内容?没有history 1000 | fgrep -i chmod,我认为有一个进程正在修改文件,但是哪个?dtrace能做到吗?它不在AIX上

aix 
兰斯·贝恩斯
source
您不应该为此chmod而努力chown吗?
cjm 2011年
LanceBaynes
:D号 CHMOD是正确的。
LanceBaynes

Answers:

0

首先,我会与IBM一起打开问题记录,因为这听起来像是代码损坏,应该予以解决。我个人仅对/etc/resolv.conf有类似的问题,其他人也不可读,并且当它属于root:system时可能会出现问题。

尽管著名的developerworks URL-randomizer出现了问题,但指向审计子系统的指针是正确的,并且上面的链接不再起作用。检查例如http://www-01.ibm.com/support/knowledgecenter/ssw_aix_61/com.ibm.aix.security/monitor_file_access_realtime.htm或存档页面:https : //web.archive.org/web/20080328022606/ http://www.ibm.com/developerworks/aix/library/au-audit/

对于事件选择,您应该尝试使用FILE_Write,也许还可以尝试使用FILE_Mode,FILE_Privilege和/或FILE_Acl

doktor5000
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.