저 할 수 있어요
auditctl -a always,exit -S all -F pid=1234
pid 1234에 의해 완료된 모든 시스템 호출을 기록합니다.
auditctl -a always,exit -S all -F ppid=1234
자녀의 경우, 손자와 그 자녀(현재 및 미래)를 어떻게 보호합니까?
나는 (e)uid/(e)gid 변경에 의존할 수 없습니다.
strace(사용 도 옵션이 아니니 주의하세요 )
답변1
몇 가지 제안을 했을 뿐 지금 당장 시도해 볼 수 있는 방법은 없습니다...그냥 게시물 자체에서 추측하는 것뿐입니다.
해결책에 대한 제안은 다음과 같습니다.
최상위 프로세스 ID가 $pid에 있고 ps -T프로세스 트리도 Linux에 제공된다고 가정합니다(지금은 Linux에 액세스할 수 없습니다).
for eachpid in $(ps -T "$pid" | awk '{print $1}' | grep -v 'PID')
do
auditctl -a always,exit -S all -F pid=$eachpid >somelog_${eachpid}.log 2>&1
done
물론 ps -T "$pid"Linux에서 작동하지 않는 경우 Linux에 해당하는 것으로 바꾸십시오(또는 "pstree -p" 출력을 awk-ing하여 찾으면 pid가 대괄호 사이에 표시됩니다).