Unter AIX 6100-05-02-1034 werden die Berechtigungen der /etc/passwdDatei häufig auf 640 geändert. Das ist schlecht ...
Wie kann ich nachverfolgen, was die Datei verändert? Es gibt keine history 1000 | fgrep -i chmod, ich denke, ein Prozess ändert die Datei, aber welcher? dtracekann dies tun? Es ist nicht auf AIX
Antworten:
Dtrace wäre nett, aber es ist nicht auf AIX portiert.
Sie sollten in der Lage sein zu verfolgen, was die Datei durch Auditing verändert: http://www.ibm.com/developerworks/aix/library/au-audit/
Zuerst würde ich einen Problemdatensatz mit IBM öffnen, da dies nach fehlerhaftem Code klingt und behoben werden sollte. Ich persönlich hatte nur ähnliche Probleme mit /etc/resolv.conf, die auch von anderen nicht gelesen werden konnten, und wenn es zu root: system gehört, könnte dies ein Problem sein.
Der Zeiger auf das Audit-Subsystem ist korrekt, obwohl der berühmte URL-Randomizer von Developerworks getroffen hat und der obige Link nicht mehr funktioniert. Überprüfen Sie beispielsweise http://www-01.ibm.com/support/knowledgecenter/ssw_aix_61/com.ibm.aix.security/monitor_file_access_realtime.htm oder die archivierte Seite: https://web.archive.org/web/20080328022606/ http://www.ibm.com/developerworks/aix/library/au-audit/
Für die Ereignisauswahl sollten Sie FILE_Write und möglicherweise zusätzlich FILE_Mode, FILE_Privilege und / oder FILE_Acl verwenden
chmod, nichtchown?