我目前正在开始显示这样的警报的 Zabbix 服务器:
/etc/passwd has been changed on Router
现在,在这台路由器机器上,我没有 passwd 文件的历史记录,所以我无法确切看到发生了什么变化,但我知道警报的时间大致与这Router台机器重新启动一致。路由器一恢复,Zabbix 就开始发出此警报。
ls -l /etc/passwd在设备上运行Router显示最后修改的时间戳与重启的时间大致相同。
这可能纯属巧合,但我宁愿在这里仔细检查,因为我在网上找不到任何东西:简单的设备重启会导致/etc/passwd文件被更新(如果不在内容中,至少在时间戳中)?
我能想到一个可能发生这种情况的例子......
假设有人
/etc/passwd不久前编辑了该文件,他们在其中为用户放置了一些行,并且该用户未添加到相应/etc/shadow的 ,重新启动后,该用户将从/etc/passwd文件中删除。在这种情况下,是的,重新启动可能会更改文件。这是我能想到的唯一情况。我不确定重新启动是否会更改文件,或者在什么其他情况下会更改
/etc/passwd文件这可能发生:
手动修补后(如上所述)
在自动包更新(例如:debian unattended-upgrades)之后,包/服务被更新或包含为添加特定于该包/服务的用户的依赖项。这发生在最近使用用户“debian-snmp”的软件包snmpd中。它触发了 zabbix 警报。