ファイルの権限を変更するプロセスを確認するには?
/dev/null
Debianサーバーで毎日(3週間)6:20に権限が変更されるのに問題があります。正しい権限を設定すると、数分短縮されます。その後、リセットしましたが、翌日6時20分まで権限が正しく維持されました。権限を設定することは重要ではありません。
答え1
インストールauditd
と実行:
sudo auditctl -a exit,always -F arch=b64 -S fchmod -S chmod -S fchmodat \
-F path=/dev/null -k dev-null-chmod
sudo auditctl -a exit,always -F arch=b32 -S fchmod -S chmod -S fchmodat \
-F path=/dev/null -k dev-null-chmod
次の出力で犯人を見つけることができます。
sudo ausearch -ik dev-null-chmod
そこからコマンド名、pid、および親pidを見ることができます。コマンド名があれば、chmod
そのコマンドを実行したことが何であるか疑問に思います。 ppidがもう存在しない場合は、監査システムまたはbsdプロセスアカウントを再利用して、すべてのプロセス生成および/または実行されたコマンドを監視することもできます。