Làm thế nào để theo dõi những gì đã có tập tin chmod 640 '' '' '' '' '' '' '' '

Trên AIX 6100-05-02-1034, một cái gì đó thường xuyên thay đổi quyền của /etc/passwdtệp thành 640. Điều đó thật tệ ...

Làm thế nào tôi có thể theo dõi những gì đang mã hóa tập tin? Không có history 1000 | fgrep -i chmod, tôi nghĩ rằng một quá trình đang mã hóa tập tin, nhưng đó là một quá trình? dtracecó thể làm điều này? nó không có trên AIX

Dtrace sẽ rất tuyệt nhưng nó không được chuyển trên AIX.

Bạn sẽ có thể theo dõi những gì đang mã hóa tệp bằng kiểm toán: http://www.ibm.com/developerworks/aix/l Library / au-audit /

Lúc đầu, tôi sẽ mở một bản ghi vấn đề với IBM vì âm thanh đó giống như mã bị hỏng và cần được sửa. Cá nhân tôi chỉ gặp vấn đề tương tự với /etc/resolv.conf cũng không thể đọc được bởi người khác và khi nó thuộc về root: hệ thống có thể là một vấn đề.

Con trỏ để kiểm tra hệ thống con là chính xác, mặc dù trình tạo ngẫu nhiên URL của nhà phát triển nổi tiếng đã xuất hiện và liên kết ở trên không hoạt động nữa. Kiểm tra ví dụ: http://www-01.ibm.com/support/ledgeledgecenter/ssw_aix_61/com.ibm.aix.security/monitor_file_access_realtime.htmlm hoặc trang được lưu trữ: https://web.archive.org/web/20080328022606/ http://www.ibm.com/developerworks/aix/l Library / au-audit /

Đối với lựa chọn sự kiện, bạn nên thử với FILE_Write và có thể ngoài FILE_Mode, FILE_Priv đặc quyền và / hoặc FILE_Acl