[sisyphus] кто пишет в ... (was: /etc/iftab ?)

[Peter V. Saveliev]

В сообщении от Thursday 25 October 2007 11:43:33 Artem Zolochevskiy 
написал(а):
> hi all
>
> после upgrade-a что-то странно с сетью началось.
> выяснилось, что какая-та нехорошая редиска понаписала маки в
> /etc/iftab
<skip >

У меня вопрос шире. Как узнать, кто пишет в файл? Inotify не позволяет 
получить pid процесса, и, насколько я понимаю, да и по любому это анализ 
post-mortem.

Знает ли кто-нибудь проксирующий fuse-модуль с возможностью блокировки записи 
выбранных файлов?

...

Вопрос не праздный. Какая-то <skip /> дважды меняла мне /etc/tcb/.../shadow 
без моего ведома. При этом машина в инет смотрит через snat, chkrootkit 
ничего не находит, rpm -Va не принёс открытий, в процессах подозрительного 
нет, а логах тоже ничего, следов подчистки логов не наблюдается.

Ситуация кинетически неприятная, а потенциально же просто опасная.

-- 
Peter V. Saveliev