我正在研究一个 6.3 美分的盒子,并试图记录从 bash shell 执行的所有命令并遇到 pam_tty_audit。我已将适当的行添加到我的/etc/pam.d/system-auth file:
session required pam_tty_audit.so enable=*
问题是它似乎不会捕获命令,除非用户是 root。例如,如果我以 root 身份登录,它会将所有内容都记录到审计日志中,但是如果我以普通用户身份登录,它不会开始记录任何内容,直到我将 su 登录到 root 之后。
有任何想法吗?