在各种 Linux 服务器中,我看到 /etc/resolv.conf 文件的权限如何自动改变。
正常状态下:
-r--r--r-- 1 root root 103 Jul 4 11:50 resolv.conf
处于改变状态:
-r--r----- 1 root root 103 Jul 4 11:50 resolv.conf
我安装了 auditd 来监控它,以下是更改之间的两个条目:
type=PATH msg=audit(07/04/2012 12:20:02.719:303) : item=0 name=/etc/resolv.conf inode=137102 dev=fe:00 mode=file,644 ouid=root ogid=root rdev=00:00
type=CWD msg=audit(07/04/2012 12:20:02.719:303) : cwd=/
type=SYSCALL msg=audit(07/04/2012 12:20:02.719:303) : arch=x86_64 syscall=open success=yes exit=3 a0=7feeb1405dec a1=0 a2=1b6 a3=0 items=1 ppid=1585 pid=3445 auid=unset uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none) ses=4294967295 comm=hostid exe=/usr/bin/hostid key=(null)
type=PATH msg=audit(07/04/2012 12:50:03.727:304) : item=0 name=/etc/resolv.conf inode=137102 dev=fe:00 mode=file,440 ouid=root ogid=root rdev=00:00
type=CWD msg=audit(07/04/2012 12:50:03.727:304) : cwd=/
type=SYSCALL msg=audit(07/04/2012 12:50:03.727:304) : arch=x86_64 syscall=open success=yes exit=3 a0=7f2bcf7abdec a1=0 a2=1b6 a3=0 items=1 ppid=1585 pid=3610 auid=unset uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none) ses=4294967295 comm=hostid exe=/usr/bin/hostid key=(null)
关于更改权限有什么想法吗?
固定的: puppet 已在服务器上配置并运行,它更改了该文件。
答案1
auditd您的日志和两个命令的时间之间存在问题ls。
第一行mode=file,644显示ls文件的模式为 444。第二行一致;mode=file,440显示ls文件的模式为 440。
您可能想要再次运行实验,可能使用ls如下方法自动执行捕获:
while true; do echo -n `date`" "; ls -l /etc/resolv.conf; sleep 5; done > ~/resolv-ls.log
另外,请检查 auditd.log 中是否还有与 相关的其他条目resolv.conf。
在您的问题中可能还值得问一个具体的问题,例如“哪个流程正在执行此操作?”或“为什么流程要这样做?”或“适当的所有权和模式是什么/etc/resolv.conf?”