在 AIX 6100-05-02-1034 上,经常将/etc/passwd文件的权限更改为 640。这很糟糕......
我怎样才能追踪到什么是 chmoding 文件?没有history 1000 | fgrep -i chmod,我认为有一个进程正在 chmoding 文件,但是是哪个进程?dtrace可以这样做吗?它不在 AIX 上
答案1
Dtrace 很好,但它没有移植到 AIX 上。
您应该能够通过审核来跟踪正在修改文件的内容:http://www.ibm.com/developerworks/aix/library/au-audit/
答案2
起初,我会向 IBM 打开问题记录,因为这听起来像是损坏的代码,应该予以修复。我个人只对 /etc/resolv.conf 遇到类似的问题,其他人也无法读取它,当它属于 root:system 时,这可能是一个问题。
审计子系统的指针是正确的,尽管著名的developerworks URL-randomizer 受到攻击,并且上面的链接不再工作。检查例如http://www-01.ibm.com/support/knowledgecenter/ssw_aix_61/com.ibm.aix.security/monitor_file_access_realtime.htm或存档页面:https://web.archive.org/web/20080328022606/http://www.ibm.com/developerworks/aix/library/au-audit/
对于事件选择,您应该尝试使用 FILE_Write,也许还可以使用 FILE_Mode、FILE_Privilege 和/或 FILE_Acl