![파일의 권한 상실을 일으키는 프로세스를 찾는 방법은 무엇입니까? [복사]](https://linux55.com/image/102664/%ED%8C%8C%EC%9D%BC%EC%9D%98%20%EA%B6%8C%ED%95%9C%20%EC%83%81%EC%8B%A4%EC%9D%84%20%EC%9D%BC%EC%9C%BC%ED%82%A4%EB%8A%94%20%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4%EB%A5%BC%20%EC%B0%BE%EB%8A%94%20%EB%B0%A9%EB%B2%95%EC%9D%80%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F%20%5B%EB%B3%B5%EC%82%AC%5D.png)
어제 서버 중 하나에 문제가 발생하여 파일 /etc/init.d/nfs-kernel-server의 권한이 손실되었으며 ------------. 계속됩니다. 파일 권한이 변경된 시기와 그 이유에 대한 로그를 얻을 수 있는 방법이 있습니까?
답변1
이 작업 유형에는 기본 로그가 없으므로 미리 설정해야 합니다.
당신은 사용을 고려할 수 있습니다auditd을 클릭하고 권한이 변경된 파일에서 변경 사항을 찾도록 구성합니다. 그런 다음 어떤 사용자와 프로세스가 어떤 파일을 변경했는지에 대한 정보를 찾을 수 있습니다.
예를 들어 일시적으로 다음을 수행할 수 있습니다.
auditctl -w /etc/init.d/nfs-kernel-server -k nfs-kernel-server
/etc/audit/audit.rules장기간 사용 하려면 다음을 추가할 수도 있습니다 .
cat > /etc/audit/audit.rules << 'EOF'
-w /etc/init.d/nfs-kernel-server
EOF
그런 다음 auditd를 시작하고 활성화해야 합니다. 대부분의 시스템 배포판에서는 다음과 같이 수행할 수 있습니다.
systemctl enable auditd
systemctl start auditd
시스템화되지 않은 시스템의 경우 문서를 참조해야 하지만 아마도 "auditd"라는 서비스일 것입니다.
/var/log/audit/audit.log그런 다음 auditd가 로그하도록 구성된 곳이나 어디에서나 로그를 검토 할 수 있습니다 . 다음 결과가 표시됩니다.
type=SYSCALL msg=audit(1349582090.742:414): arch=c000003e syscall=268 success=yes exit=0 a0=ffffffffffffff9c a1=17be0f0 a2=1ff a3=4000 items=1 ppid=2859 pid=3069 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=2 comm="chmod" exe="/usr/bin/chmod" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)
type=CWD msg=audit(1349582090.742:414): cwd="/root"
type=PATH msg=audit(1349582090.742:414): item=0 name="/var/www/html/1" inode=6171184 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00 obj=unconfined_u:object_r:httpd_sys_content_t:s0