sudo lsof | grep mounted-drive-name내 하드 드라이브 중 하나에서 실행 중인 프로세스를 발견했는데 이를 find남겨두고 싶습니다.
KDE의 시스템 모니터를 사용하면 anacron->checksecurity에 의해 시작되었음을 알 수 있습니다(전체 프로세스 트리는 systemd->anacron->sh->run-parts->checksecurity->checksecurity->check-setuid->find 및 루트 사용자로 실행).
이 명령을 사용하면 대부분 node_modules 폴더뿐만 아니라 ~/.config/chromium/Default/[...]와 같은 폴더도 검색한다는 것을 알 수 있습니다. Afaik 적어도 마지막 실행 이후로 이 폴더에서 아무것도 변경하지 않았습니다.
이 찾기 프로세스가 정기적으로 실행되는 이유와 유용한 경우(예: 결과를 찾을 수 있는 위치), 비활성화하는 방법(또는 유용한 경우 한 방향으로만 검색하도록 구성하는 방법)을 알고 싶습니다. ) .
실행해 봤지만 cat /proc/PID/status이에 ps -Flww -p PID대한 많은 정보가 생성되지 않았고 보안 검색을 위한 이러한(?) 검사가 유용한지, 제대로 작동하는지 여부와 방법을 알 수 없었습니다.
답변1
패키지가 이를 수행하기 위해 크론 작업을 설정하기 checksecurity때문에 시작됩니다 . 의심스러운 것이 발견 checksecurity되면 checksecurity기본적으로 다음 주소로 이메일을 보냅니다. root이는 여기에서 구성할 수 있습니다 /etc/checksecurity.conf(요즘에는 드물게 유효한 로컬 이메일 설정이 있다고 가정합니다).
식별한 프로세스를 시작하기 위한 구체적인 검사 find는 입니다 check-setuid. 여기에는 해당 구성 옵션과 해당 구성 옵션을 설명하는 맨페이지가 있습니다. 경로를 편집 /etc/checksecurity/check-setuid.conf하고 이를 또는 에 추가하여 CS_DIRS지정된 경로를 제외 할 수 있습니다 CHECKSECURITY_PATHFILTER. 이 특정 체크인에 대한 로그를 볼 수 있습니다 /var/log/setuid.