Как я могу отслеживать исполняемые файлы, созданные моим пользователем в Linux?

Используя Linux, я хотел бы отслеживать исполняемые файлы, которые выполняются от моего имени, включая всю командную строку (на практике каждый exec * () выполняется как мой собственный пользователь). Предполагается, что программа, которую я не контролирую, для выполнения задачи выполняет программу, которую я передаю, но я хочу убедиться, что она это делает, и какие опции она использует. Программа, которой я не управляю, подлый и, кажется, меняет поведение в зависимости от имени программы, которую она должна выполнить для задачи, поэтому я не могу передать сценарий оболочки, который бы регистрировал информацию и вызывал реальное программа.

Могу ли я получить информацию обо всех exec * (), выполненных моим пользователем в системе в Linux, включая полную командную строку? Если не считать psцикла, то есть. Я бы предпочел сделать это непосредственно в системе, в которой я работаю, и мне не требуется root-доступ, но при необходимости я могу создать систему, в которой у меня есть root-доступ, установить программы и провести там исследование.

Использование Ubuntu 12.4 LTS.

Вам необходимо настроить auditdзапись execveсобытий. Пример на RHEL5:

[root@ditirlns01 ~]# auditctl -a always,entry -S execve
WARNING - 32/64 bit syscall mismatch, you should specify an arch
[root@ditirlns01 ~]#

Я игнорирую предупреждение об арке, и это не имеет значения, но вы можете использовать -F arch=b64или-F arch=b32 установить его, если хотите.

Результатом вышесказанного является:

[root@ditirlns01 ~]# ls /tmp/whatever
ls: /tmp/whatever: No such file or directory
[root@ditirlns01 ~]# grep whatever /var/log/audit/audit.log
type=EXECVE msg=audit(1386797915.232:5527206): argc=3 a0="ls" a1="--color=tty" a2="/tmp/whatever"
type=EXECVE msg=audit(1386797927.133:5527241): argc=3 a0="grep" a1="whatever" a2="/var/log/audit/audit.log"
[root@ditirlns01 ~]#

Это очевидно быстро и грязно, но это основы того, как вы это делаете. Что именно нужно делать, вероятно, сильно зависит от того, что именно вы пытаетесь сделать. Вы можете уменьшить поток аудита, используя различные фильтры вauditctl команде, но я не знаю этой информации, поэтому не знаю, что включить. Если вам нужно что-то более конкретное, я бы посоветовал вам проверить страницу руководства или оставить комментарий к этому ответу, и я обновлю его еще немного.

Надеюсь, что это поможет вам в правильном направлении.

РЕДАКТИРОВАТЬ:

Поскольку ваш вопрос связан с просмотром конкретного пользователя, я могу показать вам, что:

[root@ditirlns01 ~]# auditctl -a always,entry -S execve -F euid=16777216
WARNING - 32/64 bit syscall mismatch, you should specify an arch

Идентично вышесказанному, но только тот execve, кто работает с эффективным идентификатором пользователя, 16777216будет зарегистрирован. Если вам нужно указать значение пользователя loginuid(от которого он изначально вошел в систему), тогда вы будете использовать auidвместо этого:

[root@ditirlns01 ~]# auditctl -a always,entry -S execve -F auid=16777216
WARNING - 32/64 bit syscall mismatch, you should specify an arch

Фильтры AUID / loginuid были бы полезны, например, если пользователь сделает suили sudoroot. В этой ситуации будет много вещей, запущенных от имени пользователя root, но вас интересует только то, что было запущено данным пользователем. auditctlтакже позволяет стек фильтров , так что вы можете фильтровать как euidи auid:

[root@ditirlns01 ~]# auditctl -a always,entry -S execve -F auid=16777216 -F euid=0
WARNING - 32/64 bit syscall mismatch, you should specify an arch
[root@ditirlns01 ~]# ls /tmp/nashly -ltar
ls: /tmp/nashly: No such file or directory
[root@ditirlns01 ~]# grep nashly /var/log/audit/audit.log
type=EXECVE msg=audit(1386798635.199:5529285): argc=4 a0="ls" a1="--color=tty" a2="/tmp/nashly" a3="-ltar"
type=EXECVE msg=audit(1386798646.048:5529286): argc=3 a0="grep" a1="nashly" a2="/var/log/audit/audit.log"

Вы спросили что-то простое. Я сделал пример с, mplayerно я думаю, что он может быть адаптирован к другим ситуациям:

#! /bin/sh
# This executable must be used instead of /usr/bin/mplayer
# do not forget the chmod +x filename...
LOG=/tmp/mplayer.log
echo "$@" >> $LOG
if [ -n "$1" ] && [ -f "$1" ] ; then
        filename="$1"
        echo "$(date "+%F %T") $(basename "$filename")" \
        | tee -a "$(dirname "$filename")/mplayer.log"  >> $LOG
fi
/usr/bin/mplayer "$@"

Как вы можете видеть, это очень просто: он анализирует первый аргумент, так как это файл, журнал создается в центральном файле $LOGи объединяется в файл (который всегда имеет одинаковое имяmplayer.log в одном и том же каталоге.

Таким образом, пользователь может получить последний фильм, который он прочитал в каждой директории.