LINUX.ORG.RU

История изменений

Исправление Entmatix, (текущая версия) :

Понятно. Для меня странно, что нет никакого удобного инструмента для таких вещей.

Запускай ту, которую подозреваешь в порче группы

Так в том и дело, что подозреваемых вагон и маленькая тележка. Выделить кого-то одного не могу, нужно будет просто по алфавиту идти и проверять.

Поставил audit, вроде он ловит.

type=SYSCALL msg=audit(1661699244.866:7): arch=c000003e syscall=260 success=yes exit=0 a0=ffffff9c a1=f160a0 a2=3e8 a3=3ee items=1 ppid=16066 pid=26870 auid=1000 uid=1000 gid=100 euid=1000 suid=1000 fsuid=1000 egid=100 sgid=100 fsgid=100 tty=pts6 ses=2 comm="chown" exe="/bin/chown" key="monitor-hosts"ARCH=x86_64 SYSCALL=fchownat AUID="user" UID="user" GID="users" EUID="user" SUID="user" FSUID="user" EGID="users" SGID="users" FSGID="users"
type=CWD msg=audit(1661699244.866:7): cwd="/mnt/common"
type=PATH msg=audit(1661699244.866:7): item=0 name="data/" inode=13631489 dev=fd:02 mode=046755 ouid=1000 ogid=100 rdev=00:00 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0OUID="user" OGID="users"
type=PROCTITLE msg=audit(1661699244.866:7): proctitle=63686F776E00757365723A736D6267726F75706C696D00746F7272656E74732F

Подожду, когда поменяется группа. Вопрос по поводу того, как заблокировать изменение группы, остается открытым.

Исходная версия Entmatix, :

Понятно. Для меня странно, что нет никакого удобного инструмента для таких вещей.

Запускай ту, которую подозреваешь в порче группы

Так в том и дело, что подозреваемых вагон и маленькая тележка. Выделить кого-то одного не могу, нужно будет просто по алфавиту идти и проверять.

Поставил auditctl, вроде он ловит.

type=SYSCALL msg=audit(1661699244.866:7): arch=c000003e syscall=260 success=yes exit=0 a0=ffffff9c a1=f160a0 a2=3e8 a3=3ee items=1 ppid=16066 pid=26870 auid=1000 uid=1000 gid=100 euid=1000 suid=1000 fsuid=1000 egid=100 sgid=100 fsgid=100 tty=pts6 ses=2 comm="chown" exe="/bin/chown" key="monitor-hosts"ARCH=x86_64 SYSCALL=fchownat AUID="user" UID="user" GID="users" EUID="user" SUID="user" FSUID="user" EGID="users" SGID="users" FSGID="users"
type=CWD msg=audit(1661699244.866:7): cwd="/mnt/common"
type=PATH msg=audit(1661699244.866:7): item=0 name="data/" inode=13631489 dev=fd:02 mode=046755 ouid=1000 ogid=100 rdev=00:00 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0OUID="user" OGID="users"
type=PROCTITLE msg=audit(1661699244.866:7): proctitle=63686F776E00757365723A736D6267726F75706C696D00746F7272656E74732F

Подожду, когда поменяется группа. Вопрос по поводу того, как заблокировать изменение группы, остается открытым.