내 질문: suid 프로그램을 실행하는 모든 명령을 기록하는 방법이 있습니까? .bash_history와 비슷하지만 setuid 프로그램만 해당됩니다.
답변1
염두에 두고 있는 특정 명령이 있는 경우 해당 바이너리를 사용하여 auditd모든 사용을 기록하도록 구성할 수 있습니다.execve
auditctl -a exit,always -S execve -F path=/usr/bin/passwd
그런 다음 ausearch를 사용하여 해당 호출을 찾을 수 있습니다.
ausearch -x /usr/bin/passwd