답변:
감사 하위 시스템을 통해 특정 실행 파일의 모든 호출 (setuid 여부)을 기록 할 수 있습니다 . 문서는 다소 희박합니다. 시작 AUDITCTL man 페이지 , 혹은 이 튜토리얼 . 최신 배포판은 auditd
패키지를 제공합니다. 설치하고 auditd
데몬이 실행 중인지 확인한 다음
auditctl -A exit,always -F path=/path/to/executable -S execve
통화가 로그인되어 /var/log/audit/audit.log
있는지 확인하십시오 (또는 배포판에서 설정 한 위치).
-F path=…
으로 -F euid=0 -F 'uid!=0'
나 같은. 감사 서브 시스템 에서 호출 된 setxid 코드execve
또는 특정 setxid 감시에서 후크를 볼 수 없습니다 . 또는 물론 모든 후 처리를 기록 할 수 있습니다 . execve
auditd
.