在 Debian Squeeze 上,每天会将某个特定用户的主目录权限重置为 chmod 700 和 chown root:root。每天我都必须手动设置权限才能正确登录。有人知道这是怎么回事吗?
答案1
安装audit
包:
Name : audit
Arch : x86_64
Version : 1.7.13
Release : 2.el5
Size : 898 k
Repo : installed
Summary : User space tools for 2.6 kernel auditing
URL : http://people.redhat.com/sgrubb/audit/
License : GPL
Description: The audit package contains the user space utilities for
: storing and searching the audit records generate by
: the audit subsystem in the Linux 2.6 kernel.
设置/home/user
审计监视:
# auditctl -w /home/user/ -p war
当权限发生变化时,您可以通过运行以下命令找出是谁做的:
ausearch -f /home/user/
示例输出:
time->Fri Sep 7 01:13:03 2012
type=PATH msg=audit(1346955183.879:429844): item=0 name="/home/user/" inode=849480 dev=03:03 mode=040700 ouid=0 ogid=500 rdev=00:00
type=CWD msg=audit(1346955183.879:429844): cwd="/root"
type=SYSCALL msg=audit(1346955183.879:429844): arch=c000003e syscall=90 success=yes exit=0 a0=1303b0b0 a1=1e8 a2=1e8 a3=1e8 items=1 ppid=17909 pid=25018 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=4294967295 comm="chmod" exe="/bin/chmod" key=(null)