Я хотел бы регистрировать все выполнения bash с помощью sshd, чтобы в конечном итоге я мог найти bash tty по sshd PID.
Использование правила auditd, например auditctl -a always,exit -F arch=b64 -F exe="/usr/bin/bash" -S execve
отслеживает все функции bash execve (), которые влияют на производительность системы.
Одним из способов ограничения журналов было бы ограничение - это возможность сопоставить только execve () arg1 с -bash
, то есть оболочка входа в систему. Возможно ли это с помощью auditd?
Как уже говорилось, я не хочу регистрировать все функции execve (), а затем искать их, это встроенная система с ограниченными ресурсами.