В AIX 6100-05-02-1034 что-то часто меняет права доступа к /etc/passwdфайлу на 640. Это плохо ...
Как я могу отследить то, что chmoding файл? Нет history 1000 | fgrep -i chmod, я думаю, что процесс chmoding файл, но какой? dtraceможет это сделать? это не на AIX
chmod, не такchownли?Ответы:
Dtrace был бы хорош, но он не портирован на AIX.
Вы должны быть в состоянии отследить, что изменяет файл с помощью аудита: http://www.ibm.com/developerworks/aix/library/au-audit/
источник
Сначала я открыл бы запись проблемы с IBM, поскольку это звучит как неработающий код и должно быть исправлено. Лично у меня были только похожие проблемы с /etc/resolv.conf, который также не читался другими, и когда он принадлежит root: system, это может быть проблемой.
Указатель на подсистему аудита правильный, хотя ударил известный URL-рандомизатор developerworks, и указанная выше ссылка больше не работает. Посмотрите, например, http://www-01.ibm.com/support/knowledgecenter/ssw_aix_61/com.ibm.aix.security/monitor_file_access_realtime.htm или архивную страницу: https://web.archive.org/web/20080328022606/ http://www.ibm.com/developerworks/aix/library/au-audit/
Для выбора события вы должны попробовать с FILE_Write и, возможно, дополнительно FILE_Mode, FILE_Privilege и / или FILE_Acl
источник