Auditd

當我使用絕對路徑時,為什麼 auditd 只記錄 echo

  • August 30, 2017

資訊

在 Centos 7 上執行 auditd 版本 2.6.5。

我的規則文件包含:

-a exit,always -F arch=b64 -F auid=0 -S execve -k root_action
-a exit,always -F arch=b32 -F auid=0 -S execve -k root_action

當我跑步時which echo,我得到了/usr/bin/echo

問題

當我執行時echo "asd",什麼都沒有登錄/var/log/audit/audit.log。但是,當我執行時,/usr/bin/echo "asd"我看到一個事件被記錄下來。為什麼不使用絕對路徑就不行?

echo 是一個內置的 shell。/bin/echo 是一個二進製文件。

鍵入type echowhich echo查看差異。

當你給它完整的路徑時,你是在告訴它使用二進製而不是 shell 內置。

引用自:https://serverfault.com/questions/871343