Änderungen der Dateiberechtigungen überwachen

7

Wie kann ich herausfinden, durch welchen Prozess die Berechtigungen einer Datei geändert werden?

Auf einem Debian-Server habe ich das Problem, dass die Berechtigungen /dev/nulljeden Tag um 6:20 Uhr (seit 3 ​​Wochen) geändert werden. Wenn ich die richtigen Berechtigungen festgelegt habe, werden sie zwischen einigen Minuten zurückgesetzt. Dann stelle ich es wieder ein und danach bleiben die Berechtigungen bis zum nächsten Tag 6:20 korrekt. Es spielt keine Rolle, zu welcher Zeit ich die Berechtigungen festlege.

permissions filesystems user1008764
quelle
Dieser Link befasst sich mit einem Überwachungstool inotify-toolszum Überwachen von Berechtigungsänderungen. Guck mal!
Munai Das Udasin
Das brauche ich nicht, weil ich weiß, wann die Datei geändert wird. Ich muss wissen, welcher Prozess (PID, Name) die Datei ändert.
user1008764
3
Was war der Schuldige?
Creek
1
Für mich war der Täter mit /root/.nano_historyverbunden /dev/null. Jedes Mal, wenn Nano verwendet wurde und seinen Verlauf schrieb, versuchte es, die Berechtigungen zu korrigieren ... (Ich kann mir vorstellen, dass dies bei anderen Programmen in einem ähnlichen Setup passiert)
Cobra_Fast

Antworten:

8

Installieren auditdund ausführen:

sudo auditctl -a exit,always -F arch=b64 -S fchmod -S chmod -S fchmodat \
  -F path=/dev/null -k dev-null-chmod
sudo auditctl -a exit,always -F arch=b32 -S fchmod -S chmod -S fchmodat \
  -F path=/dev/null -k dev-null-chmod

Sie würden den Schuldigen in der Ausgabe von finden:

sudo ausearch -ik dev-null-chmod

Dort sehen Sie den Befehlsnamen, die PID und die übergeordnete PID. Wenn der Befehlsname lautet chmod, möchten Sie wahrscheinlich wissen, wie dieser Befehl ausgeführt wurde. Wenn die ppid nicht mehr vorhanden ist, möchten Sie möglicherweise auch die gesamte Prozesserstellung und / oder die ausgeführten Befehle erneut mit dem Prüfsystem oder mit der bsd-Prozessabrechnung überwachen.

Stéphane Chazelas
quelle