[sisyphus] кто пишет в ... (was: /etc/iftab ?)

Чт Окт 25 12:50:21 MSD 2007

А если у вас ext3 - попробуйте поставить атрибут immutable на этот файл?
Его не так-то просто снимать...
сhattr +i 

-----Original Message-----
From: "Peter V. Saveliev" <peet на altlinux.ru>
To: ALT Linux Sisyphus discussions <sisyphus на lists.altlinux.org>
Date: Thu, 25 Oct 2007 12:46:31 +0400
Subject: Re: [sisyphus] кто пишет в ... (was: /etc/iftab ?)

> В сообщении от Thursday 25 October 2007 11:43:33 Artem Zolochevskiy 
> написал(а):
> > hi all
> >
> > после upgrade-a что-то странно с сетью началось.
> > выяснилось, что какая-та нехорошая редиска понаписала маки в
> > /etc/iftab
> <skip >
> 
> У меня вопрос шире. Как узнать, кто пишет в файл? Inotify не позволяет 
> получить pid процесса, и, насколько я понимаю, да и по любому это анализ 
> post-mortem.
> 
> Знает ли кто-нибудь проксирующий fuse-модуль с возможностью блокировки записи 
> выбранных файлов?
> 
> ...
> 
> Вопрос не праздный. Какая-то <skip /> дважды меняла мне /etc/tcb/.../shadow 
> без моего ведома. При этом машина в инет смотрит через snat, chkrootkit 
> ничего не находит, rpm -Va не принёс открытий, в процессах подозрительного 
> нет, а логах тоже ничего, следов подчистки логов не наблюдается.
> 
> Ситуация кинетически неприятная, а потенциально же просто опасная.
> 
> -- 
> Peter V. Saveliev
> _______________________________________________
> Sisyphus mailing list
> Sisyphus на lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sisyphus