如何记录执行程序suid的命令

如何记录执行程序suid的命令

我的问题:有没有办法记录执行suid程序的所有命令?就像 .bash_history 所做的那样,但仅限 setuid 程序。

答案1

如果您有特定的命令,您可以配置auditd为记录execve该二进制文件的所有使用:

auditctl -a exit,always -S execve -F path=/usr/bin/passwd

然后您可以使用 ausearch 来查找这些调用:

ausearch -x /usr/bin/passwd

相关内容