我正在查看 Linux 审计报告。这是来自 ausearch 的日志。
time->Mon Nov 23 12:30:30 2015
type=PROCTITLE msg=audit(1448281830.422:222556): proctitle=6D616E006175736561726368
type=SYSCALL msg=audit(1448281830.422:222556): arch=c000003e syscall=56 success=yes exit=844 a0=1200011 a1=0 a2=0 a3=7f34afa999d0 items=0 ppid=830 pid=838 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1 comm="nroff" exe="/usr/bin/bash" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)
根据我的理解,comm参数是用户用来调用exe二进制文件的名称。怎么会nroff指的是/usr/bin/bash?请注意,这是一个普遍问题,我已经看到这种我无法解释的事情发生了很多次。在这种特殊情况下,以下是有关我的系统上的 nroff 和 bash 的更多数据。
[root@localhost ~]# which nroff
/bin/nroff
[root@localhost ~]# ll -i /bin/nroff
656858 -rwxr-xr-x. 1 root root 3312 Jun 17 10:59 /bin/nroff
[root@localhost ~]# ll -i /usr/bin/bash
656465 -rwxr-xr-x. 1 root root 1071992 Aug 18 13:37 /usr/bin/bash
答案1
nroff提供的“可执行文件”是groff一个shell脚本,例如,
#! /bin/sh
# Emulate nroff with groff.
#
# Copyright (C) 1992, 1993, 1994, 1999, 2000, 2001, 2002, 2003,
# 2004, 2005, 2007, 2009
# Free Software Foundation, Inc.
#
# Written by James Clark, maintained by Werner Lemberg.
# This file is of `groff'.
根据您使用的系统,/bin/sh可能是到 的符号链接/usr/bin/bash,例如 Fedora,它链接/bin到/usr/bin。