我当前启动的 Zabbix 服务器显示如下警报:
/etc/passwd has been changed on Router
现在,在这台路由器机器上,我没有 passwd 文件的历史记录,因此我无法确切地看到发生了什么变化,但我知道警报的时间大致与这台Router机器重新启动的时间一致。路由器恢复正常后,Zabbix 就开始发出此警报。
ls -l /etc/passwd在设备上运行Router显示上次修改的时间戳与重新启动的时间大致相同。
这可能纯粹是巧合,但我宁愿在这里仔细检查,因为我在网上找不到任何东西:简单的设备重新启动是否会导致文件/etc/passwd被更新(如果不在内容中,至少在时间戳中)?
答案1
我能想到这种情况可能发生的一个例子......
假设有人/etc/passwd不久前编辑了该文件,他们在其中为用户添加了一些行,并且该用户没有添加到相应的 中/etc/shadow,重新启动后该用户将从文件中删除/etc/passwd。在这种情况下,重新启动可能会更改该文件。
这是我能想到的唯一情况。我不确定重启是否或在什么其他情况下会更改/etc/passwd文件
答案2
这可能会发生:
手动修补后(如上所述)
自动包更新后(例如:Debian 无人值守升级)其中包/服务被更新或包含为依赖项,添加特定于该包/服务的用户。最近在包裹中发生了这种情况SNMPPD现在使用用户“debian-snmp”。它触发了 zabbix 警报。