我的问题:有没有办法记录执行suid程序的所有命令?就像 .bash_history 所做的那样,但仅限 setuid 程序。
答案1
如果您有特定的命令,您可以配置auditd为记录execve该二进制文件的所有使用:
auditctl -a exit,always -S execve -F path=/usr/bin/passwd
然后您可以使用 ausearch 来查找这些调用:
ausearch -x /usr/bin/passwd
如何记录执行程序suid的命令
我的问题:有没有办法记录执行suid程序的所有命令?就像 .bash_history 所做的那样,但仅限 setuid 程序。
如果您有特定的命令,您可以配置auditd为记录execve该二进制文件的所有使用:
auditctl -a exit,always -S execve -F path=/usr/bin/passwd
然后您可以使用 ausearch 来查找这些调用:
ausearch -x /usr/bin/passwd