Bagaimana cara melacak apa yang memiliki file "chmod 640" pada file "/ etc / passwd"?

8

Pada AIX 6100-05-02-1034, ada sesuatu yang sering mengubah izin /etc/passwdfile menjadi 640. Itu buruk ...

Bagaimana saya bisa melacak apa itu chmoding file? Tidak ada history 1000 | fgrep -i chmod, saya pikir proses chmoding file, tetapi yang mana? dtracedapat melakukan ini? itu bukan pada AIX

LanceBaynes
sumber
Bukankah seharusnya kau mengerti chmod, bukan chown?
cjm
: D no. CHMOD adalah yang benar.
LanceBaynes

Jawaban:

7

Dtrace akan menyenangkan tetapi tidak porting di AIX.

Anda harus dapat melacak apa yang chmoding file dengan audit: http://www.ibm.com/developerworks/aix/library/au-audit/

Jlliagre
sumber
Saya dapat melihat S_PASSWD_READ dan S_PASSWD_WRITE, tetapi apa yang harus saya atur untuk melacak chown-ing? jadi apakah ada "S_PERMISSION"? : D - ty!
LanceBaynes
Saya tidak memiliki sistem AIX untuk memeriksa tetapi saya kira FILE_Mode harus menjadi petunjuk yang baik.
jlliagre
0

Pada awalnya saya akan membuka catatan masalah dengan IBM karena kedengarannya seperti kode rusak dan harus diperbaiki. Saya pribadi hanya memiliki masalah serupa dengan /etc/resolv.conf juga tidak dapat dibaca oleh orang lain, dan ketika itu milik root: sistem yang mungkin menjadi masalah.

Pointer untuk mengaudit subsistem sudah benar, meskipun developer-URL yang terkenal bekerja secara acak, dan tautan di atas tidak berfungsi lagi. Periksa misalnya http://www-01.ibm.com/support/knowledgecenter/ssw_aix_61/com.ibm.aix.security/monitor_file_access_realtime.htm atau halaman yang diarsipkan: https://web.archive.org/web/20080328022606/ http://www.ibm.com/developerworks/aix/library/au-audit/

Untuk pemilihan acara, Anda harus mencoba dengan FILE_Write dan mungkin juga FILE_Mode, FILE_Privilege, dan / atau FILE_Acl

doktor5000
sumber