내 질문: suid 프로그램에서 실행되는 모든 명령을 기록하는 방법이 있습니까? .bash_history와 같지만 setuid 프로그램에만 해당됩니다.
답변1
특정 명령이 있는 경우 해당 바이너리의 모든 사용을 auditd기록하도록 구성할 수 있습니다.execve
auditctl -a exit,always -S execve -F path=/usr/bin/passwd
그런 다음 ausearch를 사용하여 다음 호출을 찾을 수 있습니다.
ausearch -x /usr/bin/passwd