[请教]有没有工具可以追踪某个程序以及它执行的其他程序对哪些文件进行了操作?

new0

有没有工具可以追踪某个程序以及它执行的其他程序对哪些文件进行了操作？

我目前用strace，不过效果不佳

strace -o output.log rpm --rebuild --target i686 foo.src.rpm

事情是这样的：
我发现在suse 8.2和SLES8下面，用root帐号来rebuild rpm的时候，
/usr/bin/ssh如果没有s位的话，会被自动加s位。用aide发现这个事情，
chmod -s /usr/bin/ssh后，再用root帐号rebuild rpm，再次用aide进行
对比发现/usr/bin/ssh被加s位，但md5在此前和此后都没变。

ps：rebuild rpm的时候/usr/bin/ssh被加s位的事情是对比了一系列aide的记录
后才确定的，而且有充分的试验证明是这个事情。

而strace的log里面没发现ssh这个文件被动过

包子

理论上strace应该跟的到的啊
truss和ltrace都可以试试的

new0

无论如何，先thanks
刚才试了两次ltrace，它的log里仍然没法找到ssh这个文件的踪影，
而/usr/bin/ssh仍然是从普通可执行文件变成了有s位的文件。

包子

ltrace是trace lib的哦

你用truss看看吧

或者找个静态编译的strace看看~~-->可能性很小，没玩过suse,不过debian的安装过程中好象就是有问你是否给sshd加s位的，我也不知道为什么，不过我当然选不加啦~~~

new0

我也觉得被入侵的可能性极小，suse8.2的那台是桌面用途的，22端口只开给了少数几个ip，只有一个非root用户有shell。

只是好奇，想找找suse配的rpm的问题出在哪里。