В RHEL/CENTOS: вы можете отслеживать изменения разрешений, как показано ниже. :
Для выполнения этой задачи используйте пакет аудит
.
Убедитесь, что служба auditd
запущена, и задайте запуск boot chkconfig auditd
на
Установите наблюдение за требуемым файлом, который нужно отслеживать, с помощью команда auditctl
:
Raw
auditctl -w /etc/hosts -p war -k monitor-hosts
То есть:
auditctl: команда, используемая для добавления записей в базу данных аудита.
-w: вставить наблюдение за объектом файловой системы по пути, например /etc/shadow.
-p: установить фильтр разрешений для просмотра файловой системы. r=чтение, w=запись, x=выполнение, a=изменение атрибута.
-k: установить ключ фильтра для правила аудита. Ключ фильтра — это произвольная текстовая строка длиной до 31 байта. Он может однозначно идентифицировать записи аудита, созданные правилом.
Обратите внимание, что вы должны добавить свое правило в /etc/audit/audit.rules
Недавно -изучив эту проблему, я в конце концов понял, что в данном случае проблема была связана с агентом McAffee EPO, который был установлен на сервере нашей командой по инфраструктуре без моего ведома. Этот агент блокировал доступ к определенным большим файлам в системе, включая рассматриваемый.