「chmod 640」が「/etc/passwd」ファイルを変更した理由を追跡する方法は?

「chmod 640」が「/etc/passwd」ファイルを変更した理由を追跡する方法は?

AIX 6100-05-02-1034では、/etc/passwdファイル権限が640に変更されることがよくあります。これは悪いです...

chmodingファイルが何であるかをどのように追跡できますか?いいえhistory 1000 | fgrep -i chmod、ファイルを変更するプロセスがあるようですが、どのようなプロセスですか?dtraceこれは可能ですか? AIXにはありません。

答え1

Dtraceは素晴らしいですが、AIXに移植されていません。

監査によってファイルを変更する内容を追跡できる必要があります。http://www.ibm.com/developerworks/aix/library/au-audit/

答え2

最初は修正する必要がある壊れたコードのように聞こえるので、IBMに問題ログを開きました。個人的には/etc/resolv.confに似た問題がありましたが、他の人も読めませんでした。これはroot:systemに属するときに問題になる可能性があります。

有名な DeveloperWorks URL Randomizer が破損し、上記のリンクは機能しなくなりますが、監査サブシステムへのポインタは正しいです。たとえば、確認してください。http://www-01.ibm.com/support/knowledgecenter/ssw_aix_61/com.ibm.aix.security/monitor_file_access_realtime.htmまたはアーカイブページ:https://web.archive.org/web/20080328022606/http://www.ibm.com/developerworks/aix/library/au-audit/

イベントを選択するには、FILE_WriteとFILE_Mode、FILE_Privilege、および/またはFILE_Aclを使用する必要があります。

関連情報