Passwd
/etc/passwd 可以因為重啟而改變嗎?
我目前正在開始顯示這樣的警報的 Zabbix 伺服器:
/etc/passwd has been changed on Router現在,在這台路由器機器上,我沒有 passwd 文件的歷史記錄,所以我無法確切看到發生了什麼變化,但我知道警報的時間大致與這
Router台機器重新啟動一致。路由器一恢復,Zabbix 就開始發出此警報。
ls -l /etc/passwd在設備上執行Router顯示最後修改的時間戳與重啟的時間大致相同。這可能純屬巧合,但我寧願在這裡仔細檢查,因為我在網上找不到任何東西:簡單的設備重啟會導致
/etc/passwd文件被更新(如果不在內容中,至少在時間戳中)?
我能想到一個可能發生這種情況的例子……
假設有人
/etc/passwd不久前編輯了該文件,他們在其中為使用者放置了一些行,並且該使用者未添加到相應/etc/shadow的 ,重新啟動後,該使用者將從/etc/passwd文件中刪除。在這種情況下,是的,重新啟動可能會更改文件。這是我能想到的唯一情況。我不確定重新啟動是否會更改文件,或者在什麼其他情況下會更改
/etc/passwd文件
這可能發生:
- 手動修補後(如上所述)
- 在自動包更新(例如:debian unattended-upgrades)之後,包/服務被更新或包含為添加特定於該包/服務的使用者的依賴項。這發生在最近使用使用者“debian-snmp”的軟體包snmpd中。它觸發了 zabbix 警報。