Seltsame Veränderungen an /boot/grub/default

> In unregelmäßigen Abständen (Stunden bis zu 5 Tagen) wird die
> /boot/grub/default (überwacht von AIDE) durch irgendwen/irgendwas verändert.
>
> AIDE stellt immer nur Änderungen an den Checksummen fest, alle anderen
> Werte bleiben unverändert.
>
> Die default Datei wechselt immer zwischen genau zwei Zuständen: Zustand
> 1: die Datei beginnt mit einer 0 und Zustand zwei: Datei beginnt mit
> einer 2. Die checksummen bestätigen das.
>
> Nun meine Frage: Wie kann ich herausfinden, warum sich die default Datei
> verändert? Sonstige Auffälligkeiten in Betrieb des Servers oder in AIDE
> habe ich nicht feststellen können.

> * Peter Jordan <usernetwork@...> 19.07.2008
>  
>> In unregelmäßigen Abständen (Stunden bis zu 5 Tagen) wird die
>> /boot/grub/default (überwacht von AIDE) durch irgendwen/irgendwas verändert.
>>
>> AIDE stellt immer nur Änderungen an den Checksummen fest, alle anderen
>> Werte bleiben unverändert.
>>
>> Die default Datei wechselt immer zwischen genau zwei Zuständen: Zustand
>> 1: die Datei beginnt mit einer 0 und Zustand zwei: Datei beginnt mit
>> einer 2. Die checksummen bestätigen das.
>>
>> Nun meine Frage: Wie kann ich herausfinden, warum sich die default Datei
>> verändert? Sonstige Auffälligkeiten in Betrieb des Servers oder in AIDE
>> habe ich nicht feststellen können.
>
> Hallo Peter,
>
> sorry, denn das ist IMHO wahrscheinlich eine überflüssige Frage, aber
> bootest du immer wieder mit anderen Kerneln? Denn so sieht es zumindest
> aus. Falls nicht, dann überlies diese Mail einfach,
>
> Michael
>  

> Hi,
>
> Peter Jordan wrote:
>
>> Nun meine Frage: Wie kann ich herausfinden, warum sich die default Datei
>> verändert? Sonstige Auffälligkeiten in Betrieb des Servers oder in AIDE
>> habe ich nicht feststellen können.
>
> Nur eine Idee: Warte mit inotifywait darauf, dass irgendein Prozess auf
> die Datei zugreift und prüfe dann mit lsof, welcher Prozess das ist:
>
>  $ inotifywait /boot/grub/default ; lsof /boot/grub/default
>
> Möglicherweise ist aber der Zeitraum zwischen der Beendigung von
> inotifywait und der Ausführung von lsof zu lang, sodass lsof schon
> keinen entsprechenden Prozess mehr findet. inotifywait ist im Paket
> inotify-tools enthalten.
>
>

> Wolf Wiegand, 07/20/2008 11:37 AM:
>> Peter Jordan:
> >> Nun meine Frage: Wie kann ich herausfinden, warum sich die
> >> default Datei
> >> verändert? Sonstige Auffälligkeiten in Betrieb des Servers oder in AIDE
> >> habe ich nicht feststellen können.
> >
> > Nur eine Idee: Warte mit inotifywait darauf, dass irgendein Prozess auf
> > die Datei zugreift und prüfe dann mit lsof, welcher Prozess das ist:
> >
> >  $ inotifywait /boot/grub/default ; lsof /boot/grub/default
> >
> bringt leider keine Erkenntnisse, die Datei wird zwar geändert, lsof
> springt aber nicht drauf an.

> Hallo Peter!
>
> Peter Jordan schrieb am Sonntag, den 20. Juli 2008:
>
>> Wolf Wiegand, 07/20/2008 11:37 AM:
>> bringt leider keine Erkenntnisse, die Datei wird zwar geändert, lsof
>> springt aber nicht drauf an.
>
> Eine weitere Idee:
>
> chattr +i /boot/grub/default und dann auf Fehlermeldungen warten?
>
> Das könnte aber unerwartete Nebenwirkungen haben, spätestens wenn man
> es vergißt und man sich dann wundert, warum man die Datei nicht
> bearbeiten darf.
>
> Grüße
> Christian