Registra todas as invocações de todos os programas SUID?

12

Eu gostaria de ter um arquivo de log que contém uma entrada para cada vez que um usuário executa qualquer programa suid, contendo o nome de usuário, o programa e qualquer argumento de linha de comando passado para ele. Existe uma maneira padrão de conseguir isso no Linux?

    
por Kim 11.05.2011 / 21:22

1 resposta

7

Você pode registrar todas as invocações de um executável específico (setuid ou não) através do subsistema de auditoria . A documentação é bastante esparsa; comece com a página man do auditctl , ou talvez este tutorial . As distribuições mais recentes enviam um pacote auditd . Instale-o e verifique se o daemon auditd está em execução e faça

auditctl -A exit,always -F path=/path/to/executable -S execve

e veja as chamadas serem registradas em /var/log/audit/audit.log (ou onde quer que sua distribuição tenha configurado isso).

    
por 11.05.2011 / 22:18