파일의 권한을 변경하는 프로세스를 확인하는 방법은 무엇입니까?
/dev/nullDebian 서버에서 매일 (3주 동안) 6시 20분에 권한이 변경되는 데 문제가 있습니다 . 올바른 권한을 설정하면 몇 분 정도 단축됩니다. 그런 다음 다시 설정했는데 다음날 6시 20분까지 권한이 올바르게 유지되었습니다. 권한을 설정하는 것은 중요하지 않습니다.
답변1
설치 auditd및 실행:
sudo auditctl -a exit,always -F arch=b64 -S fchmod -S chmod -S fchmodat \
-F path=/dev/null -k dev-null-chmod
sudo auditctl -a exit,always -F arch=b32 -S fchmod -S chmod -S fchmodat \
-F path=/dev/null -k dev-null-chmod
다음 출력에서 범인을 찾을 수 있습니다.
sudo ausearch -ik dev-null-chmod
거기에서 명령 이름, pid 및 상위 pid를 볼 수 있습니다. 명령 이름이 이면 chmod해당 명령을 실행한 것이 무엇인지 궁금할 것입니다. ppid가 더 이상 존재하지 않으면 감사 시스템이나 bsd 프로세스 계정을 다시 사용하여 모든 프로세스 생성 및/또는 실행된 명령을 모니터링할 수도 있습니다.