如何調查什麼是在 Linux 上修改目錄權限？

我們有一個 Ubuntu 12.04/apache 伺服器和一個“/var/www/foo”目錄和 root 權限。

有些東西是反復改變這個目錄的權限。

問題：我們如何調查，是什麼改變了權限？

您可以使用審計進行調查以找到這一點。在 ubuntu 中，該包被稱為auditd.

如果文件或文件夾出現以下情況，請使用該命令開始調查：

auditctl -w /var/www/foo -p a

• -w表示觀看文件/文件夾
• -p a表示監視文件屬性的變化

現在開始tail -f /var/log/audit/audit.log。當屬性更改時，您將在日誌文件中看到如下內容：

type=SYSCALL msg=audit(1429279282.410:59): arch=c000003e syscall=268 success=yes exit=0
 a0=ffffffffffffff9c a1=23f20f0 a2=1c0 a3=7fff90dd96e0 items=1 ppid=26951 pid=32041
 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts5
 ses=4294967295 comm="chmod" exe="/bin/chmod"
type=CWD msg=audit(1429279282.410:59):  cwd="/root"
type=PATH msg=audit(1429279282.410:59): item=0 name="/var/www/foo" inode=18284 dev=00:13
 mode=040700 ouid=0 ogid=0 rdev=00:00

我執行chmod 700 /var/www/foo以觸發它。

• 在第一行，你看到

  • 哪個執行檔做到了：exe="/bin/chmod"
  • 程序的pid：pid=32041
  • 您還可以找出它是哪個使用者：uid=0，在我的情況下是 root 。

• 在第 3 行中，您會看到更改後的模式：mode=040700

引用自：https://unix.stackexchange.com/questions/196840