我想嘗試滲透測試。因此,我希望 /etc/shadow 檔案具有 777 權限。但在我設置它們之後,在我看來,它們隨機地重置為 660。
我發現 apparmor 有一個引用影子檔案的「身份驗證」抽象。這可能是嗎?我快要瘋了。
順便說一句,我知道更改權限是一個壞主意,但我真的想為我的遊樂場伺服器執行此操作。
編輯:也許是我,使用 passwd 設定一些密碼來重設權限。所以問題是是否有人知道是否有任何服務幹擾影子檔案權限。如果不是,則一定是 passwd 實用程式。
答案1
您可以使用auditd查找正在變更權限的進程:
sudo apt install auditdsudo auditctl -a exit,always -F path=/etc/shadow -k "etcshadow"- [等待權限變更]
sudo ausearch -i -k etcshadow
這將安裝auditd套件並/etc/shadow在該名稱下註冊一個審核規則等影子。最後一個命令是在審核事件資料庫中搜尋先前註冊的規則所建立的條目。