Um servidor Zabbix que estou atualmente começou mostrando um alerta como este:
/etc/passwd has been changed on Router
Agora, nesta máquina do roteador, não tenho um histórico do arquivo passwd, então não posso ver exatamente o que mudou, mas o que sei é que a hora do alerta coincidiu aproximadamente com Routera reinicialização desta máquina. Assim que o roteador voltou a funcionar, o Zabbix começou a emitir esse alerta.
A execução ls -l /etc/passwdno Routerdispositivo mostra que o carimbo de data/hora da última modificação é aproximadamente o mesmo da hora da reinicialização.
Isso pode ser pura coincidência, mas prefiro verificar aqui, pois não encontrei nada online: uma simples reinicialização do dispositivo pode fazer com que o /etc/passwdarquivo seja atualizado (se não no conteúdo, pelo menos no carimbo de data / hora)?
Eu posso pensar em uma instância em que isso poderia acontecer....
Digamos que alguém editou o
/etc/passwdarquivo há algum tempo e colocou algumas linhas lá para um usuário, e esse usuário não foi adicionado ao correspondente/etc/shadow, após uma reinicialização, o usuário seria removido do/etc/passwdarquivo. Nessa circunstância, sim, uma reinicialização pode alterar o arquivo.Essa é a única circunstância em que consigo pensar. Não tenho certeza se, ou em que outras circunstâncias, uma reinicialização alteraria o
/etc/passwdarquivoisso pode acontecer:
após ajustes manuais (conforme descrito acima)
após uma atualização automática de pacote (por exemplo: debian unattended-upgrades ) onde um pacote/serviço é atualizado ou incluído como uma dependência que adiciona um usuário específico para aquele pacote/serviço. Isso aconteceu recentemente com o pacote snmpd que agora usa o usuário 'debian-snmp'. ele acionou um alerta zabbix.