Meine Frage: Gibt es eine Möglichkeit, alle Befehle aufzuzeichnen, die ein Suid-Programm ausführen? So wie .bash_history, aber nur die Setuid-Programme.
Antwort1
Wenn Sie bestimmte Befehle im Sinn haben, können Sie diese so konfigurieren, auditddass alle execveVerwendungen mit dieser Binärdatei aufgezeichnet werden:
auditctl -a exit,always -S execve -F path=/usr/bin/passwd
Anschließend können Sie mit ausearch nach diesen Aufrufen suchen:
ausearch -x /usr/bin/passwd