我遇到运行CentOS 5的cPanel共享服务器的问题,其中public_html文件夹下的几个目录从755变为777.客户说他们没有更改它,我想知道是否有办法监控这些特定的目录,以找出谁/什么是更改权限.
我已经研究过使用auditctl并在测试它并自行更改权限之后我没有在日志中看到任何内容所以我不确定我是否正确行事或者是否可能.
有没有人对如何找出更改权限的内容有任何建议或想法?
谢谢!!
解决方法
auditd为我工作..
创建了一个名为/ var / www / html / 1的文件
编辑/etc/audit/audit.rules并添加以下内容并重新启动auditd.
-w /var/www/html/1
然后运行以下命令.
# chmod 777 /var/www/html/1
在/var/log/audit/audit.log中我看到了以下内容,
type=SYSCALL msg=audit(1349582090.742:414): arch=c000003e syscall=268 success=yes exit=0 a0=ffffffffffffff9c a1=17be0f0 a2=1ff a3=4000 items=1 ppid=2859 pid=3069 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=2 comm="chmod" exe="/usr/bin/chmod" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null) type=CWD msg=audit(1349582090.742:414): cwd="/root" type=PATH msg=audit(1349582090.742:414): item=0 name="/var/www/html/1" inode=6171184 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00 obj=unconfined_u:object_r:httpd_sys_content_t:s0
在Fedora 17中测试过.