Назад | Перейти на главную страницу

Найдите терминал sshd bash с помощью правила auditd на основе аргумента execve

Я хотел бы регистрировать все выполнения bash с помощью sshd, чтобы в конечном итоге я мог найти bash tty по sshd PID.

Использование правила auditd, например auditctl -a always,exit -F arch=b64 -F exe="/usr/bin/bash" -S execve отслеживает все функции bash execve (), которые влияют на производительность системы.

Одним из способов ограничения журналов было бы ограничение - это возможность сопоставить только execve () arg1 с -bash, то есть оболочка входа в систему. Возможно ли это с помощью auditd?

Как уже говорилось, я не хочу регистрировать все функции execve (), а затем искать их, это встроенная система с ограниченными ресурсами.