use*_*764 8 filesystems permissions
如何确定哪个进程正在更改文件的权限?
在 Debian 服务器上,我遇到的问题是/dev/null每天 6:20(自 3 周起)更改权限。当我设置正确的权限时,它们会在几分钟之间回退。然后我再次设置它,之后权限保持正确,直到第二天 6:20。我在什么时候设置权限并不重要。
安装auditd并运行:
sudo auditctl -a exit,always -F arch=b64 -S fchmod -S chmod -S fchmodat \
-F path=/dev/null -k dev-null-chmod
sudo auditctl -a exit,always -F arch=b32 -S fchmod -S chmod -S fchmodat \
-F path=/dev/null -k dev-null-chmod
您会在以下输出中找到罪魁祸首:
sudo ausearch -ik dev-null-chmod
您将在其中看到命令名称、pid 和父 pid。如果命令名称是chmod,您可能想知道是什么运行了该命令。如果 ppid 不再存在,您可能还想再次使用审计系统或 bsd 进程记帐来监视所有进程创建和/或执行的命令。