|
有没有工具可以追踪某个程序以及它执行的其他程序对哪些文件进行了操作?
我目前用strace,不过效果不佳
strace -o output.log rpm --rebuild --target i686 foo.src.rpm
事情是这样的:
我发现在suse 8.2和SLES8下面,用root帐号来rebuild rpm的时候,
/usr/bin/ssh如果没有s位的话,会被自动加s位。用aide发现这个事情,
chmod -s /usr/bin/ssh后,再用root帐号rebuild rpm,再次用aide进行
对比发现/usr/bin/ssh被加s位,但md5在此前和此后都没变。
ps:rebuild rpm的时候/usr/bin/ssh被加s位的事情是对比了一系列aide的记录
后才确定的,而且有充分的试验证明是这个事情。
而strace的log里面没发现ssh这个文件被动过 |
|