Отследить повышение привилегий

sudo

Ведет логи же.

набрал sudo su, ввел пароль и он стал рутом

sudo ведет логи

использовал какую-нибудь уязвимость в программе, которая дает права рута в системе

в общем случае ты об этом никак не узнаешь. Только по косвенным признакам.

Какие например ? Любые варианты интересуют. Точное нету сигнала соответствующего повышению привилегий?

Даже если бы такой сигнал и был, я сомневаюсь что эксплойт будет так добр чтобы специально его послать.

А какие - те же логи. Человек, получивший рута, начинает производить какие-то действия, и эти действия могут оставить следы.

Какие например ? Любые варианты интересуют.

Могут быть такие:

/var/log/messages
/var/log/auth.log
/var/log/lastlog
/var/log/secure
/var/log/wtmp
/var/log/utmp

Точное нету сигнала соответствующего повышению привилегий?

Можно перехватывать все вызовы execve() и вести лог запускаемых рутом процессов... Навеяло недавней темой :D

man auditd

Ну стандартные методы повышения привилегий типа sudo и su ведут соответствующие логи. А эксплойт на то и эксплойт, что использует недокументированную возможность и уследить за ним напрямую невозможно (потому что никто не знает, что ТАК можно повысить привилегии, а если узнают, то закрывают уязвимость).

Только вот root это царь и бог в unix-системах. А значит при желании он может логи и подтереть.

auditd

auditd позволяет отслеживать подозрительные системные вызовы

Только вот root это царь и бог в unix-системах. А значит при желании он может логи и подтереть.

Благородный дон не в курсе про selinux?