[warning]怀疑suse 8.2以及SLES8带的rpm软件有bug或者有hole

new0

如果用root帐号，用rpm命令rebuild一些src.rpm，会把/usr/bin/ssh加上s位，但文件的md5sum没变，记录如下：

(ps：昨天发现ssh有s位，去掉后，再看各个帐号的登陆记录和做过什么事情，才发现的问题。)

File: /usr/bin/ssh
  Permissions: -rwxr-xr-x                        , -rwsr-xr-x
  Ctime    : 2004-01-16 15:31:21               , 2004-01-17 22:08:08

new0

有没有工具可以追踪某个程序以及它执行的其他程序对哪些文件进行了操作？

我目前用strace，不过效果不佳

strace -o output.log rpm --rebuild --target i686 foo.src.rpm

事情是这样的：
我发现在suse 8.2和SLES8下面，用root帐号来rebuild rpm的时候，
/usr/bin/ssh如果没有s位的话，会被自动加s位。用aide发现这个事情，
chmod -s /usr/bin/ssh后，再用root帐号rebuild rpm，再次用aide进行
对比发现/usr/bin/ssh被加s位，但md5在此前和此后都没变。

ps：rebuild rpm的时候/usr/bin/ssh被加s位的事情是对比了一系列aide的记录
后才确定的，而且有充分的试验证明是这个事情。

而strace的log里面没发现ssh这个文件被动过