strace / dtrace / ltrace ... útil para muitas coisas, desde encontrar violações de acesso ocultas até rastreamento de soquete de rede, mas talvez não seja possível ver tudo.
Eu não consegui descobrir usando strace (ele surgiu novamente enquanto eu tentava responder a outra pergunta hoje) onde o sudo aloca e persiste senhas de texto simples na memória do sistema. A questão relacionada está relacionada se isso é novidade para você.
O mais próximo que eu cheguei, com traços como este (isso pode ser um mau exemplo, usando um sudo empilhado; eu tentei algumas coisas):
$ sudo strace -ff -o mem sudo -s
Enter password...
são linhas como esta:
mem.14471:stat("/etc/profile.d/gnome-ssh-askpass.sh", {st_mode=S_IFREG|0644, st_size=70, ...}) = 0
mem.14471:access("/etc/profile.d/gnome-ssh-askpass.sh", R_OK) = 0
mem.14471:open("/etc/profile.d/gnome-ssh-askpass.sh", O_RDONLY) = 3
mem.14471:read(3, "SSH_ASKPASS=/usr/libexec/openssh"..., 70) = 70
e acredito que tentei rastreá-los individualmente, mesmo substituindo a variável env em / usr / libexec / openssh-askpass por sua própria strace, sem sucesso.
Eu sei ler e decodificar straces; Eu posso seguir as alças atribuídas, códigos de retorno e alocações de memória. O que não consigo encontrar é um fork que aloque e persista a senha do sudo (até 7 vezes) na memória, enquanto o sudo está ativo. A prova de residente da senha é através do LiME Forensics aplicado ao CentOS.
Alternativamente, haveria uma abordagem melhor, como iterar alocações de memória de processo?