auditd auid muda após su

1

Eu tento implementar a responsabilidade individual pelos meus sistemas RHEL usando o selinux e o audit.log. Segui as instruções dadas aqui: Registrar todos os comandos executado por administradores em servidores de produção

Se eu entendi corretamente, o pam_loginuid.so deve manter o UID que foi usado para efetuar login e configurá-lo como o AUID no arquivo audit.log. Infelizmente isso não funciona depois de su . Quando eu faço o login no sistema e chamo cat / proc / self / loginuid , ele exibe o meu UID correto. Se eu chamar e cat / proc / self / loginuid novamente, ele exibirá 0. Além disso, o ID 0 será usado no arquivo audit.log como AUID para comandos. Eu invoco depois de sudo su - .

O que estou fazendo errado aqui?

Aqui está o meu arquivo pam.d / sshd:

auth       include      system-auth
account    required     pam_nologin.so
account    include      system-auth
password   include      system-auth
session    optional     pam_keyinit.so revoke
session    required     pam_loginuid.so
session    include      system-auth

Eu habilitei o audit = 1 em /etc/grub.conf e editei /etc/audit/audit.rules como descrito no post acima.

    
por fetch101 30.09.2014 / 12:59

1 resposta

0

Certifique-se de não carregar pam_loginuid.so module de nenhum dos seguintes /etc/pam.d/ files:

  • su
  • sudo
  • arquivos incluídos nos arquivos su e sudo , via @include

Editar: Veja também este bug link

    
por 08.07.2015 / 20:54