如何检测linux上的chmod文件

我有一些运行在我的系统上的应用程序。 其中一些正在使用相同的configuration文件
其中一些应用程序启动时更改文件的权限,如将其更改为664和644。
这些应用程序每天都从crontab运行。
我有这个问题的原因是,对于一些configuration文件,我突然获得了640的权限。
我想知道一个特定的configuration文件的历史。 像谁改变,什么时候是允许的。

谢谢

您需要审核权限文件更改。

创建一个名为/var/www/html/1

编辑/etc/audit/audit.rules 。 添加以下行,然后重新启动auditd:

-w /var/www/html/1

然后运行以下命令。

chmod 777 /var/www/html/1

/var/log/audit/audit.log向你展示一些像:

 type=SYSCALL msg=audit(1349582090.742:414): arch=c000003e syscall=268 success=yes exit=0 a0=ffffffffffffff9c a1=17be0f0 a2=1ff a3=4000 items=1 ppid=2859 pid=3069 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=2 comm="chmod" exe="/usr/bin/chmod" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null) type=CWD msg=audit(1349582090.742:414): cwd="/root" type=PATH msg=audit(1349582090.742:414): item=0 name="/var/www/html/1" inode=6171184 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00 obj=unconfined_u:object_r:httpd_sys_content_t:s0 

解决方案是从: https : //serverfault.com/questions/434483/monitor-or-log-directory-permission-changes