Estou trabalhando em uma caixa de 6,3 centavos e estou tentando registrar todos os comandos executados a partir de um shell bash e deparei com pam_tty_audit. Eu adicionei a linha apropriada ao meu /etc/pam.d/system-auth file :
session required pam_tty_audit.so enable=*
O problema é que ele não parece capturar comandos a menos que um usuário seja root. Por exemplo, se i ssh in como root, ele registra tudo no log de auditoria, mas se eu for ssh como usuário regular, ele não iniciará o log de nada até que eu tenha su para root.
Alguma idéia?
Isso pode ser devido a uma proteção incorporada do sistema de auditoria. Aqui está uma citação relevante de alguém depurando sua mesma situação. Parece que os usuários não raiz são impedidos de enviar os registros USER_TTY. Em vez disso, os comandos serão gravados quando o bash sair ou o buffer de coleta ficar cheio.
Você deve ser capaz de encontrar as informações que procura depois que o usuário fizer o logout.