Re: /etc/passwd effacé
Le Sun, 02 Mar 2014 17:46:07 +0100,
Jacques Daniel <jacques@hermine.no-ip.info> a écrit :
> Le 02/03/2014 16:35, Alain Vaugham a écrit :
> > Il ne s'est passé que quelques dizaines de minutes entre l'instant
> > où j'ai effacé /etc/passwd et le moment où je l'ai restauré à
> > partir de la même machine :
> > # cp -p /etc/passwd- /etc/passwd
> > # chmod 644 /etc/passwd
> >
> > Pendant ce laps de temps il n'y a eu aucune mise à jour, aucun
> > nouveau compte user créé, aucun logiciel installé/supprimé.
> >
>
> Bonjour,
Bonsoir,
> Tu devrais plutôt regarder dans ce cas du côté de /var/backup/passwd
> (sauvegarde effectué par /etc/cron.daily/passwd)
Je ne connaissais pas ce backup quotidien. Cela m'a permis d'explorer
les fichiers qui y sont déposés.
# ls -l /var/backups/
total 3116
-rw-r--r-- 1 root root 4585 2 janv. 2013 apt.extended_states.0
-rw-r--r-- 1 root root 654 31 déc. 2012 apt.extended_states.1.gz
-rw-r--r-- 1 root root 636 4 nov. 2012 apt.extended_states.2.gz
-rw-r--r-- 1 root root 630 1 nov. 2012 apt.extended_states.3.gz
-rw-r--r-- 1 root root 2226554 1 nov. 2012 aptitude.pkgstates.0
-rw-r--r-- 1 root root 302533 20 févr. 19:16 dpkg.status.0
-rw-r--r-- 1 root root 95232 5 févr. 22:11 dpkg.status.1.gz
-rw-r--r-- 1 root root 94977 19 déc. 01:03 dpkg.status.2.gz
-rw-r--r-- 1 root root 94771 23 oct. 12:56 dpkg.status.3.gz
-rw-r--r-- 1 root root 94221 29 juil. 2013 dpkg.status.4.gz
-rw-r--r-- 1 root root 94215 3 juin 2013 dpkg.status.5.gz
-rw-r--r-- 1 root root 94212 31 mai 2013 dpkg.status.6.gz
-rw------- 1 root root 701 2 janv. 2013 group.bak
-rw------- 1 root shadow 589 2 janv. 2013 gshadow.bak
-rw------- 1 root root 1217 2 janv. 2013 passwd.bak
-rw------- 1 root shadow 1251 2 janv. 2013 shadow.bak
> Il y a au moins 1 différence entre /etc/passwd effacé et /etc/passwd-.
>
Exact!
# diff /etc/passwd- /var/backups/passwd.bak
27a28
> toto:x:1003:1003:Toto,,,:/home/toto:/bin/bash
# diff /etc/passwd /var/backups/passwd.bak
27a28
> toto:x:1003:1003:Toto,,,:/home/toto:/bin/bash
Ce compte toto avait été créé pour faire des tests. C'est
en le détruisant que j'ai dû faire une fausse manip avec pour
conséquence la suppression du /etc/passwd.
J'ai redémarré la machine. Tout semble marcher comme avant.
Après le redémarrage, la différence entre le /etc/passwd avec son
backup dans /var/backup/ existe toujours. Cela me semble cohérent. Je
surveillerai que demain il n'y aura plus de différence après le
prochain cron.
Pour moi, je crois que l'incident est clos.
Merci beaucoup pour ce post.
--
Alain Vaugham
Clef GPG : 0xD26D18BC
Reply to: