如何确定哪个进程正在更改文件的权限?
在 Debian 服务器上,我遇到了每天 6:20 更改权限的问题/dev/null(三周以来)。当我设置正确的权限时,它们会缩短几分钟。然后我再次设置它,之后权限保持正确,直到第二天 6:20。我何时设置权限并不重要。
答案1
安装auditd并运行:
sudo auditctl -a exit,always -F arch=b64 -S fchmod -S chmod -S fchmodat \
-F path=/dev/null -k dev-null-chmod
sudo auditctl -a exit,always -F arch=b32 -S fchmod -S chmod -S fchmodat \
-F path=/dev/null -k dev-null-chmod
您会在以下输出中找到罪魁祸首:
sudo ausearch -ik dev-null-chmod
您将在其中看到命令名称、pid 和父 pid。如果命令名称是chmod,您可能想知道是什么运行了该命令。如果 ppid 不再存在,您可能还想再次使用审计系统或 bsd 进程记帐来监视所有进程创建和/或执行的命令。