Linux makinemde lsof
o anda kullanarak bir sürecin açık dosyalarını görebildiğimi biliyorum . Bununla birlikte, bir işlem bir dosyayı çok hızlı açabilir, değiştirebilir ve kapatabilir watch
; "linux'taki açık işlem dosyalarını izleme (gerçek zamanlı)" bölümünde açıklandığı gibi standart kabuk komut dosyası (örn. ) Kullanarak izleyerken göremeyeceğim .
Bu yüzden, bir süreci denetlemenin basit bir yolunu aradığımı ve zaman içinde ne yaptığını göreceğimi düşünüyorum. Hangi ağ bağlantılarının yapılmaya çalışıldığını görmek ve işlemin denetim başlamadan başlamadan önce vaktinden önce denetimin başlaması da mümkündür.
İdeal olarak, bunu yapmak istiyorum:
sh $ audit-lsof /path/to/executable
4530.848254 OPEN read /etc/myconfig
4530.848260 OPEN write /var/log/mylog.log
4540.345986 OPEN read /home/gert/.ssh/id_rsa <-- suspicious
4540.650345 OPEN socket TCP ::1:34895 -> 1.2.3.4:80 |
[...]
4541.023485 CLOSE /home/gert/.ssh/id_rsa <-- would have missed
4541.023485 CLOSE socket TCP ::1:34895 -> 1.2.3.4:80 | this when polling
strace
Her sistem çağrısını görememek ve bazı bayraklar kullanmak mümkün mü?