作者LIAR (玻璃做的大叔)
看板Linux
標題[問題] /tmp權限跑掉造成samba異常
時間Tue May 17 21:31:50 2016
兩天前有求救說samba異常,後來翻遍一堆log才在之前裝好的audit中看到大量
chdir|fail (拒絕不符權限的操作)|chdir|/tmp
我才注意到/tmp權限變成0700,改成1777就沒事了。
問題來了,我的系統只有root有shell,我看過history沒有chmod動過/tmp,
也包括沒有解壓縮或還原覆蓋等等,現在我有點緊張,總不會有人入侵
亂動吧?
請問各位有遇過這種權限跑掉的狀況嗎?有哪些因素會這樣?
--
起初,他們追殺共產主義者,我沒有說話,因為我不是共產主義者;
接著,他們追殺猶太人,我沒有說話,因為我不是猶太人;
後來,他們追殺工會成員,我沒有說話,因為我不是工會成員;
此後,他們追殺天主教徒,我沒有說話,因為我是新教教徒;
最後,他們奔我而來,卻再也沒有人站起來為我說話了。
《First They Came(他們首次來時)》,Martin Niemoller牧師(1892-1984)
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.176.36.217
※ 文章網址: https://www.ptt.cc/bbs/Linux/M.1463491916.A.023.html
→ Adama: /tmp現在應該都是tmpfs,所以是kernel(?)配置時改的? 05/17 22:01
→ LIAR: 我CentOS 6.7,和/用同一分割區,而且我除了自動update 05/17 22:30
→ LIAR: 已經很久沒有動系統設定了,連smb.conf都擺兩年左右沒更新 05/17 22:31
→ LIAR: 一個月以前的權限還是正確的,現在卻跑掉,這一個月發生啥 05/17 22:43
→ LIAR: 根據系統異常的時間點,看到一個secure的log 05/17 23:08
→ LIAR: runuser: pam_unix(runuser:session): session opened for 05/17 23:09
→ LIAR: May 12 03:00:32 時間點正好是我每天用cron跑yum update 05/17 23:10
→ LIAR: 這個有點奇怪,其他時間沒看到類似的紀錄 05/17 23:11