用于列出所有系统suid位集的osquery suid_bin用法

Question

我是这样使用它的：

Select * from suid_bin

但是，如果我在/usr上做了一个手动检查，例如，我有一些在我之前的结果中没有的东西。要手动检查特定的文件夹，我使用以下请求：

SELECT * FROM file WHERE path LIKE "/usr/%%" and mode like "4755";

你能告诉我我哪里做错了吗？我现在正在学习osquery，所以我对它的请求感到不舒服……

Answer 1

这是记录在案的行为。

查看整个文件系统是一项开销很大的操作。因此，正如schema中所述，suid_bin表在公共位置查找suid二进制文件，而不是详尽地查找。如果您想查看它所查看的位置列表，可以在source code中找到它

正如您所发现的，file表将允许您递归地搜索文件系统。