- логи auditd типа поиздеваться с помощью apparmor все запретить, а запустить с , Аноним (1), 13:18 , 10-Апр-20 (1)
логи auditd (типа поиздеваться с помощью apparmor: все запретить, а запустить с complain), или запуск под strace, как пример можно еще что-то из отслеживающего inotify события (но вспомнить не могу)
- Можно натравить strace конкретно на файловые операции -e file и залогировать в, Аноним (5), 22:51 , 12-Апр-20 (5)
Можно натравить strace конкретно на файловые операции (-e file) и залогировать все процессы на диск, потом грепать. Я так делаю. Ещё можно через ld_preload перехватить все открытия файлов, и записывать их как хочется и куда хочется, только у меня что-то хромиум отказался работать когда я перехватил open64() -- с остальными проблем не было. Так и не смог отладить.
|