Comment savoir ce qui avait «chmod 640» dans le fichier «/ etc / passwd»?

8

Sur AIX 6100-05-02-1034, quelque chose change fréquemment les autorisations du /etc/passwdfichier en 640. C'est mauvais ...

Comment pourrais-je savoir ce qui modifie le fichier? Il n'y a pas history 1000 | fgrep -i chmod, je pense qu'un processus modifie le fichier, mais lequel? dtracepeut le faire? ce n'est pas sous AIX

LanceBaynes
la source
Ne devriez-vous pas être en convoitise chmod, non chown?
cjm
: D non. CHMOD a raison.
LanceBaynes

Réponses:

7

Dtrace serait bien mais il n'est pas porté sur AIX.

Vous devriez pouvoir retracer ce qui modifie le fichier avec l'audit: http://www.ibm.com/developerworks/aix/library/au-audit/

jlliagre
la source
Je peux voir S_PASSWD_READ et S_PASSWD_WRITE, mais que dois-je définir pour tracer le chown-ing? y a-t-il donc "S_PERMISSION"? : D - ty!
LanceBaynes, le
Je n'ai pas de système AIX à vérifier mais je suppose que FILE_Mode devrait être un bon indice.
jlliagre
0

Au début, j'ouvrais un enregistrement de problème avec IBM car cela ressemble à du code cassé et devrait être corrigé. Personnellement, je n'ai eu que des problèmes similaires avec /etc/resolv.conf non plus lisible par les autres, et quand il appartient à root: système qui pourrait être un problème.

Le pointeur vers le sous-système d'audit est correct, bien que le célèbre randomiseur d'URL de developerworks ait frappé et que le lien ci-dessus ne fonctionne plus. Vérifiez par exemple http://www-01.ibm.com/support/knowledgecenter/ssw_aix_61/com.ibm.aix.security/monitor_file_access_realtime.htm ou la page archivée: https://web.archive.org/web/20080328022606/ http://www.ibm.com/developerworks/aix/library/au-audit/

Pour la sélection d'événement, vous devez essayer avec FILE_Write et peut-être en plus FILE_Mode, FILE_Privilege et / ou FILE_Acl

doktor5000
la source