ファイル権限変更の監視

ファイル権限変更の監視

ファイルの権限を変更するプロセスを確認するには?

/dev/nullDebianサーバーで毎日(3週間)6:20に権限が変更されるのに問題があります。正しい権限を設定すると、数分短縮されます。その後、リセットしましたが、翌日6時20分まで権限が正しく維持されました。権限を設定することは重要ではありません。

答え1

インストールauditdと実行:

sudo auditctl -a exit,always -F arch=b64 -S fchmod -S chmod -S fchmodat \
  -F path=/dev/null -k dev-null-chmod
sudo auditctl -a exit,always -F arch=b32 -S fchmod -S chmod -S fchmodat \
  -F path=/dev/null -k dev-null-chmod

次の出力で犯人を見つけることができます。

sudo ausearch -ik dev-null-chmod

そこからコマンド名、pid、および親pidを見ることができます。コマンド名があれば、chmodそのコマンドを実行したことが何であるか疑問に思います。 ppidがもう存在しない場合は、監査システムまたはbsdプロセスアカウントを再利用して、すべてのプロセス生成および/または実行されたコマンドを監視することもできます。

関連情報