Sur AIX 6100-05-02-1034, quelque chose change fréquemment les autorisations du /etc/passwd
fichier en 640. C'est mauvais ...
Comment pourrais-je savoir ce qui modifie le fichier? Il n'y a pas history 1000 | fgrep -i chmod
, je pense qu'un processus modifie le fichier, mais lequel? dtrace
peut le faire? ce n'est pas sous AIX
chmod
, nonchown
?Réponses:
Dtrace serait bien mais il n'est pas porté sur AIX.
Vous devriez pouvoir retracer ce qui modifie le fichier avec l'audit: http://www.ibm.com/developerworks/aix/library/au-audit/
la source
Au début, j'ouvrais un enregistrement de problème avec IBM car cela ressemble à du code cassé et devrait être corrigé. Personnellement, je n'ai eu que des problèmes similaires avec /etc/resolv.conf non plus lisible par les autres, et quand il appartient à root: système qui pourrait être un problème.
Le pointeur vers le sous-système d'audit est correct, bien que le célèbre randomiseur d'URL de developerworks ait frappé et que le lien ci-dessus ne fonctionne plus. Vérifiez par exemple http://www-01.ibm.com/support/knowledgecenter/ssw_aix_61/com.ibm.aix.security/monitor_file_access_realtime.htm ou la page archivée: https://web.archive.org/web/20080328022606/ http://www.ibm.com/developerworks/aix/library/au-audit/
Pour la sélection d'événement, vous devez essayer avec FILE_Write et peut-être en plus FILE_Mode, FILE_Privilege et / ou FILE_Acl
la source