Мой вопрос: Есть ли способ записать все команды, которые запускают suid-программу? Как это делает .bash_history, но только для setuid-программ.
решение1
Если у вас есть определенные команды, вы можете настроить auditdзапись всех execveслучаев использования этого двоичного файла:
auditctl -a exit,always -S execve -F path=/usr/bin/passwd
Затем вы можете использовать ausearch для поиска этих вызовов:
ausearch -x /usr/bin/passwd