Ubuntu 12.04/apacheサーバーとroot権限を持つ「/var/www/foo」ディレクトリがあります。
そのディレクトリに対する権限が繰り返し変更されています。
質問:どのように調査し、何が権限を変更しましたか?
ベストアンサー1
監査を使用してこれを調べて確認できます。 Ubuntuでは、このパッケージをauditd
。
ファイルまたはフォルダの調査を開始するには、次のコマンドを使用します。
auditctl -w /var/www/foo -p a
-w
ファイル/フォルダビューを表します。-p a
ファイル属性の変更を監視することを意味します。
今始めましょうtail -f /var/log/audit/audit.log
。属性が変更されると、ログファイルに次のような内容が表示されます。
type=SYSCALL msg=audit(1429279282.410:59): arch=c000003e syscall=268 success=yes exit=0
a0=ffffffffffffff9c a1=23f20f0 a2=1c0 a3=7fff90dd96e0 items=1 ppid=26951 pid=32041
auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts5
ses=4294967295 comm="chmod" exe="/bin/chmod"
type=CWD msg=audit(1429279282.410:59): cwd="/root"
type=PATH msg=audit(1429279282.410:59): item=0 name="/var/www/foo" inode=18284 dev=00:13
mode=040700 ouid=0 ogid=0 rdev=00:00
私はchmod 700 /var/www/foo
それを実行するために実行します。
- 最初の行で見ると
- これを実行する実行可能ファイルは次のとおりです。
exe="/bin/chmod"
- プロセスPID:
pid=32041
- どのユーザーかを確認することもできます。
uid=0
私の場合はルートです。
- これを実行する実行可能ファイルは次のとおりです。
- 3行目には変更されたパターンが表示されます。
mode=040700