Nach einem Reboot neue versteckte Dateien in /etc, z. B. #groupEi1ESh, .#gshadowjEe64S

[titanium]

Hallo,

auf zweien meiner Server zeigt sich seit einiger Zeit (ich denke, nach dem Upgrade auf Buster) das Phänomen, dass im /etc-Verzeichnis während des Bootvorgangs neue Dateien geschrieben werden, nach dem Muster: #gshadowjEe64S, .#gshadow1kDMJZ... Jeder Bootvorgang fügt eine weitere Datei hinzu.

Ich habe versucht, dem Treiben mit auditctl auf die Spur zu kommen, aber ich habe nichts finden können.

Kennt jemand das Verhalten? Welches Programm/Script ist dafür verantwortlich?

 

[titanium]

systemd ist schuld. Hier die detaillierte Lösung des Problems für's Protokoll:

Während des Bootvorgangs gibt es einen Aufruf von systemd-sysusers, der zu einem segfault führt. systemd versucht, einen Nutzer "systemd-coredump" mit der ID 999 anzulegen, was in meinem Fall nicht klappt, da die ID bereits vergeben ist. Ein händisches Anlegen des Users mittels "useradd systemd-coredump" behebt das Problem.

Interessant ist, dass auditd zum Debuggen hier keine Hilfe ist, da der Vorgang im Bootvorgang auftritt, bevor auditd seine Ohren spitzt.