监控或记录目录权限变化?

监控或记录目录权限变化?

我在运行 CentOS 5 的 cPanel 共享服务器上遇到了问题,其中 public_html 文件夹下的几个目录不断从 755 更改为 777。客户说他们不会更改它,我想知道是否有办法监视这些特定目录以找出谁/什么在更改权限。

我已经研究过使用 auditctl,在测试它并亲自更改权限后,我没有在日志中看到任何内容,所以我不确定我做得是否正确或者是否可行。

有人对我如何找出改变权限的原因有什么建议或想法吗?

谢谢!!

答案1

auditd 对我有用..

创建一个名为 /var/www/html/1 的文件

编辑 /etc/audit/audit.rules 并添加以下内容,然后重新启动 auditd。

-w /var/www/html/1

然后运行以下命令。

# chmod 777 /var/www/html/1

在 /var/log/audit/audit.log 中我看到以下内容,

type=SYSCALL msg=audit(1349582090.742:414): arch=c000003e syscall=268 success=yes exit=0 a0=ffffffffffffff9c a1=17be0f0 a2=1ff a3=4000 items=1 ppid=2859 pid=3069 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=2 comm="chmod" exe="/usr/bin/chmod" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)
type=CWD msg=audit(1349582090.742:414):  cwd="/root"
type=PATH msg=audit(1349582090.742:414): item=0 name="/var/www/html/1" inode=6171184 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00 obj=unconfined_u:object_r:httpd_sys_content_t:s0

在 Fedora 17 中测试。

相关内容