pam_tty_audit aparentemente não está funcionando

1

Eu apenas compilei o módulo pam_tty_audit, porque minha distro do Linux não o inclui nos módulos usuais do PAM.

Incluí para o /etc/common-session da linha de configuração, conforme sugerido em esta questão . No meu / var / log / messages eu recebo uma mensagem toda vez que algum sudo , crontab ou login é executado:

login[18635]: pam_tty_audit(login:session): changed status from 0 to 1

Mas quando procuro eventos no log do daemon de auditoria, não obtenho nada relacionado aos comandos executados nessa sessão de usuário:

sudo /sbin/ausearch -ts today
----
time->Thu May 30 17:46:52 2013
type=DAEMON_START msg=audit(1369928812.430:3659): auditd start, ver=1.7.7 format=raw kernel=3.0.13-0.27-default auid=1010 pid=17873 subj=unconfined  res=success
----
time->Thu May 30 17:57:01 2013
type=DAEMON_END msg=audit(1369929421.259:3660): auditd normal halt, sending auid=1010 pid=18874 subj= res=success
----
time->Thu May 30 17:57:01 2013
type=DAEMON_START msg=audit(1369929421.343:6499): auditd start, ver=1.7.7 format=raw kernel=3.0.13-0.27-default auid=1010 pid=18891 subj=unconfined  res=success

Como você pode ver acima, somente o daemon start e stop são armazenados em meus logs de auditoria.

Claro, vou mover a configuração do PAM da sessão comum para os arquivos login e ssh .

Estou muito confuso agora porque não consigo entender o motivo porque não consigo obter o registro de auditoria!

Obrigado antecipadamente

    
por JoseLSegura 30.05.2013 / 18:10

1 resposta

1

Ok, isso foi apenas um problema de configuração. Lendo completamente a documentação do Audit OpenSuse em [1] eu consegui ativar o daemon do Audit para registrar a variável AUDITD_DISABLE_CONTEXTS para "no" em /etc/sysconfig/auditd

[1] link

    
por 09.07.2013 / 13:14