Quero experimentar pentesting. Por esse motivo, quero que o arquivo /etc/shadow tenha 777 permissões. Mas depois de configurá-los, parece-me que aleatoriamente, eles são redefinidos para 660.
Descobri que o apparmor possui uma abstração de 'autenticação' que faz referência ao arquivo shadow. Talvez seja isso? Estou ficando louco com isso.
Aliás, sei que é uma má ideia alterar as permissões, mas realmente quero fazer isso no meu servidor de playground.
Editar: Talvez seja eu, usando passwd para definir alguma senha que redefina as permissões. Portanto, a questão é se alguém sabe se algum serviço interfere nas permissões do arquivo shadow. Caso contrário, deve ser o utilitário passwd.
Responder1
Você poderia usar auditdpara encontrar o processo que está alterando as permissões:
sudo apt install auditdsudo auditctl -a exit,always -F path=/etc/shadow -k "etcshadow"- [espere até que as permissões sejam alteradas]
sudo ausearch -i -k etcshadow
Isto irá instalar o pacote auditd e registrar uma regra de auditoria /etc/shadowsob o nomeetcshadow. O último comando é pesquisar no banco de dados de eventos de auditoria entradas criadas pela regra registrada anteriormente.