質問: suid プログラムを実行するすべてのコマンドを記録する方法はありますか? .bash_history のように、setuid プログラムのみを記録します。
答え1
特定のコマンドを念頭に置いている場合は、そのバイナリでのauditdすべての使用を記録するように構成できます。execve
auditctl -a exit,always -S execve -F path=/usr/bin/passwd
次に、ausearch を使用してそれらの呼び出しを検索します。
ausearch -x /usr/bin/passwd