pam_tty_audit и непривилегированные пользователи

Question

pam_tty_audit и непривилегированные пользователи

Я работаю над коробкой cents 6.3 и пытаюсь зарегистрировать все команды, выполненные из оболочки bash, и наткнулся на pam_tty_audit. Я добавил соответствующую строку в мой /etc/pam.d/system-auth file:

session     required      pam_tty_audit.so enable=*

Проблема в том, что он не может захватывать команды, если пользователь не является пользователем root. Например, если я ssh в качестве пользователя root, он записывает все в журнал аудита, но если я ssh как обычный пользователь, он не начинает что-либо регистрировать, пока я не получу su от root.

Есть идеи?

5

centos pam auditd tty

Источник

Jeff 31 авг '12 в 20:13

1 ответ

Другие вопросы по тегам centos pam auditd tty

Scott Pack 06 фев '13 в 03:41 2013-02-06 03:41 · Answer 1 · 2013-02-06 03:41

Это может быть связано со встроенной защитой от системы аудита. Вот уместная цитата от кого-то, кто отлаживает вашу ситуацию. Похоже, что пользователям без полномочий root запрещено отправлять записи USER_TTY. Вместо этого команды будут записаны либо при выходе из bash, либо при заполнении буфера коллекции.

Вы должны быть в состоянии найти информацию, которую вы ищете после выхода пользователя из системы.