나는 사용자가 suid 프로그램을 실행할 때마다 사용자 이름, 프로그램 및 전달된 명령줄 인수를 포함하는 항목을 포함하는 로그 파일을 원합니다. Linux에서 이를 달성하는 표준 방법이 있습니까?
답변1
특정 실행 파일(setuid 또는 non-setuid)에 대한 모든 호출을 다음과 같이 기록할 수 있습니다.감사 하위 시스템. 문서는 다소 드물다.auditctl 매뉴얼 페이지, 아마도이 튜토리얼. 최근 배포판에는 auditd패키지가 함께 제공됩니다. 설치하고 auditd데몬이 실행 중인지 확인한 다음 실행하십시오.
auditctl -A exit,always -F path=/path/to/executable -S execve
/var/log/audit/audit.log통화가 로그인되어 있는지 (또는 배포가 설정된 위치) 확인하세요 .