Jef*_*eff 5 centos pam auditd tty
我正在研究一个 6.3 美分的盒子,并试图记录从 bash shell 执行的所有命令并遇到 pam_tty_audit。我已将适当的行添加到我的/etc/pam.d/system-auth file:
session required pam_tty_audit.so enable=*
问题是它似乎不会捕获命令,除非用户是 root。例如,如果我以 root 身份登录,它会将所有内容都记录到审计日志中,但是如果我以普通用户身份登录,它不会开始记录任何内容,直到我将 su 登录到 root 之后。
有任何想法吗?
这可能是由于审计系统内置的保护。这是调试您相同情况的人的相关引用。似乎非 root 用户无法发送 USER_TTY 记录。相反,当 bash 退出或集合缓冲区填满时,命令将被写出。
用户注销后,您应该能够找到您要查找的信息。
| 归档时间: |
|
| 查看次数: |
1271 次 |
| 最近记录: |