Aix
如何追踪“chmod 640”對“/etc/passwd”文件的影響?
在 AIX 6100-05-02-1034 上,經常將
/etc/passwd文件的權限更改為 640。這很糟糕……我怎麼能追踪到什麼是 chmoding 文件?沒有
history 1000 | fgrep -i chmod,我認為一個程序正在對文件進行 chmod,但是是哪個?dtrace能做到嗎?它不在 AIX 上
Dtrace 會很好,但它沒有移植到 AIX 上。
您應該能夠通過審計跟踪對文件進行 chmod 處理的內容:http: //www.ibm.com/developerworks/aix/library/au-audit/
起初我會打開 IBM 的問題記錄,因為這聽起來像是損壞的程式碼,應該修復。我個人只有與 /etc/resolv.conf 類似的問題,其他人也無法讀取,當它屬於 root:system 時,這可能是一個問題。
指向審計子系統的指針是正確的,儘管著名的 developerworks URL-randomizer 被擊中,並且上面的連結不再起作用。檢查例如http://www-01.ibm.com/support/knowledgecenter/ssw_aix_61/com.ibm.aix.security/monitor_file_access_realtime.htm或存檔頁面:https ://web.archive.org/web/20080328022606/ http://www.ibm.com/developerworks/aix/library/au-audit/
對於事件選擇,您應該嘗試使用 FILE_Write,也許還應該使用 FILE_Mode、FILE_Privilege 和/或 FILE_Acl