У меня есть случай, когда один из моих пользователей автоматически отключает вход в систему.
Я пытался выяснить, что вызывает это. Обнаружено, что приложение rkhunter отслеживает изменения в / etc / passwd и восстанавливает сохраненную версию в случае обнаружения изменений. Теперь я полностью удалил rkhunter. Но дело все еще есть.
Я вижу в / var / log / secure такие строки, как «сменить оболочку пользователя xxx с / bin / bash на / bin / false»
И это все, что я нашел. Очевидно, что есть какое-то приложение, которое запускает команду usermod для этого изменения. Но я, похоже, не могу его найти.
У кого-нибудь были такие случаи в опыте? Как я могу найти источник проблемы?