pam_tty_auditおよび非特権ユーザー
私はセント6.3ボックスで作業していて、bashシェルから実行されたすべてのコマンドをログに記録しようとしていますが、pam_tty_auditに出くわしました。 /etc/pam.d/system-auth fileに適切な行を追加しました。
session required pam_tty_audit.so enable=*
問題は、ユーザーがrootでない限り、コマンドをキャプチャしていないように見えることです。たとえば、rootとしてsshでログインすると、すべてが監査ログに記録されますが、通常のユーザーとしてsshを実行すると、suがrootになるまで何もログに記録されません。
何か案は?
これは、監査システムからの組み込みの保護が原因である可能性があります。これは、同じ状況をデバッグしている誰かからの関連する引用です。 root以外のユーザーがUSER_TTYレコードを送信できないように見えます。代わりに、bashが終了するか、コレクションバッファーがいっぱいになると、コマンドが書き出されます。
あなたshouldユーザーがログアウトした後、探している情報を見つけることができます。