현재 시작된 Zabbix 서버에 다음 경고가 표시됩니다.
/etc/passwd has been changed on Router
이제 이 라우터 시스템에는 passwd 파일의 기록이 없으므로 정확히 무엇이 변경되었는지 알 수 없지만 경고 시간이 Router이 시스템이 재부팅된 시간과 대략 일치한다는 것을 알고 있습니다. Zabbix는 라우터가 다시 작동하는 즉시 이 경고를 발행하기 시작합니다.
ls -l /etc/passwd장치에서 실행하면 Router마지막으로 수정된 타임스탬프가 재부팅되었을 때와 거의 동일하다는 것을 알 수 있습니다.
이것은 순전히 우연일 수 있지만 온라인에서 아무것도 찾을 수 없으므로 여기에서 다시 확인하고 싶습니다. 간단한 장치를 다시 시작하면 파일이 /etc/passwd업데이트됩니까(콘텐츠가 아닌 경우 적어도 타임스탬프에서는)?
답변1
이런 일이 발생할 수 있는 한 가지 예를 생각해 볼 수 있습니다.
/etc/passwd누군가가 얼마 전에 파일을 편집하고 그 안에 사용자에 대한 몇 줄을 추가했는데 사용자가 그에 따라 추가되지 않았다고 가정해 보겠습니다. /etc/shadow재부팅 후에는 사용자가 파일에서 제거됩니다 /etc/passwd. 이 경우 다시 시작하면 파일이 변경될 수 있습니다.
이것이 내가 생각할 수 있는 유일한 시나리오이다. 재부팅하면 /etc/passwd파일이 변경되는지 또는 어떤 상황에서 변경되는지 잘 모르겠습니다.
답변2
이런 일이 발생할 수 있습니다:
수동 패치 후(위와 같음)
자동 패키지 업데이트 후(예:데비안 무인 업그레이드) 패키지/서비스가 업데이트되거나 종속성으로 포함되는 경우 해당 패키지/서비스와 관련된 사용자를 추가합니다. 최근 패키지에서 이런 일이 발생했습니다.SNMPPD이제 "debian-snmp" 사용자를 사용하세요. Zabbix 경고가 발생했습니다.