Что с разрешениями в /var/run?

Question

[Warfare Noise]

Приветствую,

Имеется следующеее странное поведение на сервере - после обновления до Wheezy 7.7, после каждой перезагрузки сервера, спутся некоторое время, меняются разрешения в директории /var/run со значений по умолчанию, на 770 root:root. Также я не могу зайти по ssh (пришлось подключать монитор) из-за того что pid файл демона ssh имеет отличные разрешения от значения по дефолту, при перезапуске демона появляется сообщение следующего характера:

/var/run/sshd must be owned by root and not group or world-writable.

Как такое может быть если разрешение стоит 770?

И при попытке логина на сервера, на клиенте:

ssh_exchange_identification: read: Connection reset by peer

Что лечится повторным заданием разрешений на pid файл. Ситуация крайне странная, прогнал сервер rkhunter-ом, ничего критического нет, проверил процессы - ps aux/ps ajxf, lsof, netstat, /etc/passwd, /etc/shadow - все в порядке.

Есть ли какие то соображения или идеи?

Answer 1

[Rsa97]

Почему меняются разрешения не скажу, а вот "not group or world-writable" - значит, что у группы не должно быть прав на запись, то есть 770 не подходит, максимум 750.

Comments

[Warfare Noise]

Ок, тогда главный вопрос почему меняются разрешения? Отключил сервер от сети, перезагрузил, все ок, спустя н минут после перезагрузки разрешения изменяются на 770.

[Сергей Петриков]

Соколов Юрий: Проверку maldet\clamav прогоните.

Answer 2

[Владимир]

скорей всего какой-то стартовый скрипт
grep chmod -rn /etc/init.d/
что там в cron тоже смотрите

Answer 3

[Warfare Noise]

Решил проблему, посредством отслеживания какой процесс изменяет разрешения с помощью audictl. Выяснилось, что задача, забитая в кроне, изменяющая права на папку с пользовательскими файлами, по каким то причинам некорректно исполнялась, рекурсивно заменяя права в /var (до этого было все нормально). Причины этого поведения еще нужно выяснить, но проблема ушла.