Eu apenas compilei o módulo pam_tty_audit, porque minha distro do Linux não o inclui nos módulos usuais do PAM.
Incluí para o /etc/common-session da linha de configuração, conforme sugerido em esta questão . No meu / var / log / messages eu recebo uma mensagem toda vez que algum sudo , crontab ou login é executado:
login[18635]: pam_tty_audit(login:session): changed status from 0 to 1
Mas quando procuro eventos no log do daemon de auditoria, não obtenho nada relacionado aos comandos executados nessa sessão de usuário:
sudo /sbin/ausearch -ts today
----
time->Thu May 30 17:46:52 2013
type=DAEMON_START msg=audit(1369928812.430:3659): auditd start, ver=1.7.7 format=raw kernel=3.0.13-0.27-default auid=1010 pid=17873 subj=unconfined res=success
----
time->Thu May 30 17:57:01 2013
type=DAEMON_END msg=audit(1369929421.259:3660): auditd normal halt, sending auid=1010 pid=18874 subj= res=success
----
time->Thu May 30 17:57:01 2013
type=DAEMON_START msg=audit(1369929421.343:6499): auditd start, ver=1.7.7 format=raw kernel=3.0.13-0.27-default auid=1010 pid=18891 subj=unconfined res=success
Como você pode ver acima, somente o daemon start e stop são armazenados em meus logs de auditoria.
Claro, vou mover a configuração do PAM da sessão comum para os arquivos login e ssh .
Estou muito confuso agora porque não consigo entender o motivo porque não consigo obter o registro de auditoria!
Obrigado antecipadamente
Ok, isso foi apenas um problema de configuração. Lendo completamente a documentação do Audit OpenSuse em [1] eu consegui ativar o daemon do Audit para registrar a variável AUDITD_DISABLE_CONTEXTS para "no" em /etc/sysconfig/auditd
[1] link