Wie kann man nachverfolgen, was "chmod 640" in der Datei "/ etc / passwd" getan hat?

8

Unter AIX 6100-05-02-1034 werden die Berechtigungen der /etc/passwdDatei häufig auf 640 geändert. Das ist schlecht ...

Wie kann ich nachverfolgen, was die Datei verändert? Es gibt keine history 1000 | fgrep -i chmod, ich denke, ein Prozess ändert die Datei, aber welcher? dtracekann dies tun? Es ist nicht auf AIX

LanceBaynes
quelle
Solltest du nicht danach greifen chmod, nicht chown?
cjm
: D nein. CHMOD ist das Richtige.
LanceBaynes

Antworten:

7

Dtrace wäre nett, aber es ist nicht auf AIX portiert.

Sie sollten in der Lage sein zu verfolgen, was die Datei durch Auditing verändert: http://www.ibm.com/developerworks/aix/library/au-audit/

jlliagre
quelle
Ich kann S_PASSWD_READ und S_PASSWD_WRITE sehen, aber was sollte ich einstellen, um das Chowning zu verfolgen? Gibt es also eine "S_PERMISSION"? : D - ty!
LanceBaynes
Ich habe kein AIX-System zu überprüfen, aber ich denke, FILE_Mode sollte ein guter Hinweis sein.
Jlliagre
0

Zuerst würde ich einen Problemdatensatz mit IBM öffnen, da dies nach fehlerhaftem Code klingt und behoben werden sollte. Ich persönlich hatte nur ähnliche Probleme mit /etc/resolv.conf, die auch von anderen nicht gelesen werden konnten, und wenn es zu root: system gehört, könnte dies ein Problem sein.

Der Zeiger auf das Audit-Subsystem ist korrekt, obwohl der berühmte URL-Randomizer von Developerworks getroffen hat und der obige Link nicht mehr funktioniert. Überprüfen Sie beispielsweise http://www-01.ibm.com/support/knowledgecenter/ssw_aix_61/com.ibm.aix.security/monitor_file_access_realtime.htm oder die archivierte Seite: https://web.archive.org/web/20080328022606/ http://www.ibm.com/developerworks/aix/library/au-audit/

Für die Ereignisauswahl sollten Sie FILE_Write und möglicherweise zusätzlich FILE_Mode, FILE_Privilege und / oder FILE_Acl verwenden

doktor5000
quelle