giám sát thay đổi tập tin

Làm thế nào tôi có thể tìm ra quá trình nào đang thay đổi quyền của một tập tin?

trên máy chủ Debian, tôi gặp vấn đề là có thứ gì đó đang thay đổi quyền /dev/nullmỗi ngày vào lúc 6:20 (kể từ 3 tuần). Khi tôi đặt quyền chính xác, chúng sẽ được đặt lại trong vài phút. Sau đó, tôi đặt lại và sau đó các quyền đó vẫn đúng cho đến ngày hôm sau 6:20. Nó không thành vấn đề tại thời điểm tôi đặt quyền.

permissions filesystems

— người dùng 1008764
nguồn

Liên kết này nói về một công cụ giám sát inotify-tools, để theo dõi các thay đổi về quyền. Có một cái nhìn!

— Munai Das Udasin

đó không phải là thứ tôi cần, vì tôi biết khi tập tin được thay đổi. tôi cần biết Quy trình (PID, Tên) nào đang thay đổi tập tin.

— dùng1008764

thủ phạm là gì?

— Lạch

Đối với tôi, thủ phạm đã được liên /root/.nano_historykết đến /dev/null. Vì vậy, lúc nào nano cũng được sử dụng và viết lịch sử của nó, nó đã cố sửa các quyền ... (Tôi có thể tưởng tượng điều này xảy ra với các chương trình khác trong một thiết lập tương tự)

— Cobra_Fast

Cài đặt auditdvà chạy:

sudo auditctl -a exit,always -F arch=b64 -S fchmod -S chmod -S fchmodat \
  -F path=/dev/null -k dev-null-chmod
sudo auditctl -a exit,always -F arch=b32 -S fchmod -S chmod -S fchmodat \
  -F path=/dev/null -k dev-null-chmod

Bạn sẽ tìm thấy thủ phạm trong đầu ra của:

sudo ausearch -ik dev-null-chmod

Bạn sẽ thấy tên lệnh, pid và pid cha trong đó. Nếu tên lệnh là chmod, có lẽ bạn sẽ muốn biết cái gì đã chạy lệnh đó. Nếu ppid không còn ở đó nữa, bạn cũng có thể muốn theo dõi tất cả các lệnh tạo quy trình và / hoặc thực hiện lại với hệ thống kiểm toán hoặc với kế toán quy trình bsd.

— Stéphane Chazelas
nguồn