ファイルの権限の喪失を引き起こすプロセスを見つける方法は? [コピー]

tag-icon tag-icon files permissions logs
ファイルの権限の喪失を引き起こすプロセスを見つける方法は? [コピー]

昨日、サーバーの1つに問題が発生したため、ファイル/etc/init.d/nfs-kernel-serverの権限が失われました------------。続きます。ファイルの権限が変更された時期とその理由のログを取得する方法はありますか?

ベストアンサー1

このジョブタイプにはデフォルトのログがないため、事前に設定する必要があります。

あなたは使用を検討することができますauditdをクリックし、権限が変更されたファイルで変更を検索するように設定します。その後、どのユーザーとプロセスがどのファイルを変更したかについての情報を見つけることができます。

たとえば、一時的に次のことができます。

auditctl -w /etc/init.d/nfs-kernel-server -k nfs-kernel-server

/etc/audit/audit.rules長期間使用するには、以下を追加することもできます。

cat > /etc/audit/audit.rules << 'EOF'
-w /etc/init.d/nfs-kernel-server
EOF

次に、 auditd を起動して有効にする必要があります。ほとんどのシステムディストリビューションでは、次のことができます。

systemctl enable auditd
systemctl start auditd

システム化されていないシステムの場合は、ドキュメントを参照する必要がありますが、おそらく "auditd"というサービスです。

/var/log/audit/audit.logその後、auditdがログに記録されている場所またはどこでもログを確認できます。次の結果が表示されます。

type=SYSCALL msg=audit(1349582090.742:414): arch=c000003e syscall=268 success=yes exit=0 a0=ffffffffffffff9c a1=17be0f0 a2=1ff a3=4000 items=1 ppid=2859 pid=3069 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=2 comm="chmod" exe="/usr/bin/chmod" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)
type=CWD msg=audit(1349582090.742:414):  cwd="/root"
type=PATH msg=audit(1349582090.742:414): item=0 name="/var/www/html/1" inode=6171184 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00 obj=unconfined_u:object_r:httpd_sys_content_t:s0

おすすめ記事