我想尝试渗透测试。因此,我想让 /etc/shadow 文件具有 777 个权限。但在我设置它们之后,我发现它们随机地被重置为 660。
我发现 apparmor 有一个引用影子文件的“身份验证”抽象。可能是这个吗?我快要疯了。
顺便说一句,我知道更改权限是个坏主意,但我真的想为我的游乐场服务器这样做。
编辑:也许是我使用 passwd 设置了一些重置权限的密码。所以问题是是否有人知道是否有任何服务干扰了影子文件权限。如果没有,那一定是 passwd 实用程序。
答案1
您可以使用它auditd来查找正在更改权限的进程:
sudo apt install auditdsudo auditctl -a exit,always -F path=/etc/shadow -k "etcshadow"- [等到权限改变]
sudo ausearch -i -k etcshadow
这将安装 auditd 包并注册/etc/shadow名为etcshadow最后一个命令是搜索审计事件数据库以查找由先前注册的规则创建的条目。