端末に入力されたコマンドがどのファイルに影響するかを知る方法はありますか?たとえば、私たち全員は、passwdコマンドが実行するアクションとそのコマンドがどのファイルに影響を与えるかを知っています。しかし、コマンドの影響を受ける正確なファイル名を知るための明確な方法はありますか?
そのユーザーにいくつかのポリシーを適用するファイルにユーザーを追加するコマンドがあります。しかし、どのファイルに追加されたかはわかりません。
答え1
デフォルトでは、次の操作を実行できます。子プロセスを追跡するオプションstrace -e open <cmd>もあります。この方法はユーザーフレンドリーではなく(基本的にいくつかのC、システムコールなどを知る必要があります)、長期的には機能しません。 。他の同様のツールが動作する可能性があります(まだこの目的には使用していません)。ファイルベースのIDS(AIDEなど)を実行し、特定のファイルが変更されたタイミングを検出できるようにします。-fstracesysdigauditd
あなたの質問は、プログラムがアクセスするファイル(監査など)を確認する方法を尋ねるのか、それともアクセスしている特定のファイル(IDS)に基づいて警告を発生させようとしているのかを知りません。プログラムがどのファイルにアクセスするかを調べるための最良の方法は、このようなstrace低レベルツールのソースコードを読むことです。