1

我必须使用 osquery 列出我的服务器上的所有 suid 集,我假设 suid_bin 应该给我所有 suid 集,但它似乎遗漏了其中一些。我这样使用它:

Select * from suid_bin

但是,例如,如果我对 /usr 进行手动检查,我有一些不在我之前的结果中。要手动检查特定文件夹,我使用以下请求:

SELECT * FROM file WHERE path LIKE "/usr/%%" and mode like "4755";

你能告诉我我在这里做错了什么吗?我现在正在学习 osquery,所以我对它的请求不满意......

4

1 回答 1

2

这是记录在案的行为。

查看整个文件系统是一项昂贵的操作。因此,如schema中所述,该表在common 位置suid_bin查找 suid 二进制文件,而不是详尽无遗。如果你想查看它看起来的地方列表,它在源代码中

正如您所发现的,该file表将让您递归地搜索文件系统。

于 2020-03-10T15:53:42.817 回答