Linux 감사 보고서를 보고 있어요. 이것은 ausearch의 로그입니다.
time->Mon Nov 23 12:30:30 2015
type=PROCTITLE msg=audit(1448281830.422:222556): proctitle=6D616E006175736561726368
type=SYSCALL msg=audit(1448281830.422:222556): arch=c000003e syscall=56 success=yes exit=844 a0=1200011 a1=0 a2=0 a3=7f34afa999d0 items=0 ppid=830 pid=838 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1 comm="nroff" exe="/usr/bin/bash" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)
내가 이해한 바로는 comm매개변수는 exe사용자가 바이너리를 호출하는 데 사용하는 이름입니다. 어떻게 nroff그런 말을 할 수 있나요 /usr/bin/bash? 이는 일반적인 문제이므로 설명할 수 없을 정도로 이런 일이 발생하는 것을 여러 번 보았습니다. 이 특별한 경우에는 내 시스템의 nroff 및 bash에 대한 추가 데이터가 있습니다.
[root@localhost ~]# which nroff
/bin/nroff
[root@localhost ~]# ll -i /bin/nroff
656858 -rwxr-xr-x. 1 root root 3312 Jun 17 10:59 /bin/nroff
[root@localhost ~]# ll -i /usr/bin/bash
656465 -rwxr-xr-x. 1 root root 1071992 Aug 18 13:37 /usr/bin/bash
답변1
nroff제공된 "실행 파일"은 groff쉘 스크립트입니다. 예를 들면 다음과 같습니다.
#! /bin/sh
# Emulate nroff with groff.
#
# Copyright (C) 1992, 1993, 1994, 1999, 2000, 2001, 2002, 2003,
# 2004, 2005, 2007, 2009
# Free Software Foundation, Inc.
#
# Written by James Clark, maintained by Werner Lemberg.
# This file is of `groff'.
사용 중인 시스템에 따라 이는 Fedora와 같은 에 /bin/sh대한 심볼릭 링크일 수 있습니다 ./usr/bin/bash/bin/usr/bin