我注意到 /tmp 中有很多空文件,它们的名称类似于“/tmp/tmp.tMIHx17730”。我运行审计规则,我发现 mktemp 正在创建它,这不是很有帮助。
如何找出哪个脚本调用 mktemp 来创建这些文件?我可以使用 auditd 捕获父进程 ID/命令行吗?
更新:我相信我有父进程 ID (ppid=17729),但脚本很快退出,我找不到脚本。我也可以设置 auditd 来获取父进程命令行吗?
更新 2:这是我如何设置 auditd 以显示写入 tmp 的内容:
auditctl -w /tmp -k tmpfiles
然后:
ausearch -k tmpfiles|grep "tmp."
然后我选择一个文件然后我做
ausearch -k tmpfiles -f /tmp/tmp.tMIHx17730
这向我展示了创建文件和父进程 pid 的进程。我需要设置某种进程启动侦听器来捕获该 pid 的最新进程