有誰知道監視根程序生成的簡單方法

我想在新的根程序產生時執行一個腳本。（在 Linux 上）我怎樣才能簡單地做到這一點？

謝謝

這聽起來像是 auditd 的完美工作。一旦你執行了auditd，這是現代基於RedHat的系統上的預設服務，你可以製定一個規則，通過執行你想要的東西

auditctl -a task,always -F uid=0

打破這條命令規則，過度使用手冊頁，我們發現：

   -a list,action
          task       Add  a  rule to the per task list. This rule list is used
                     only at the time a task is created -- when fork() or
                     clone() are called by the parent task. When using this
                     list, you should only use fields that are known at task
                     creation time, such as the uid, gid, etc.
          always     Allocate an audit context, always fill it in at syscall 
                     entry time, and always write out a record at syscall exit
                     time.

因此，每當 fork 或 clone 系統呼叫退出時，請始終為此操作寫出記錄。

最後一個選項可以被認為是一個過濾字元串，在我們的使用中-F uid=0只是將我們限制在程序所有者的 uid 為 0 的情況下。

請注意，可以通過確保正確配置 auditd 並將規則添加

-a task,always -F uid=0

到您的分發的相關文件中來在執行時執行此規則，很可能/etc/audit/audit.rules

請記住，這將非常嘈雜，無論誰在進行日誌審查，都需要為此做好準備。

引用自：https://serverfault.com/questions/199654