suid 프로그램을 실행하는 명령을 기록하는 방법

Question

특정 명령이 있는 경우 해당 바이너리의 모든 사용을 auditd기록하도록 구성할 수 있습니다.execve

auditctl -a exit,always -S execve -F path=/usr/bin/passwd

그런 다음 ausearch를 사용하여 다음 호출을 찾을 수 있습니다.

ausearch -x /usr/bin/passwd

Answer 1

특정 명령이 있는 경우 해당 바이너리의 모든 사용을 auditd기록하도록 구성할 수 있습니다.execve

auditctl -a exit,always -S execve -F path=/usr/bin/passwd

그런 다음 ausearch를 사용하여 다음 호출을 찾을 수 있습니다.

ausearch -x /usr/bin/passwd

관련 정보