Estou tentando usar o pam_tty_audit para gravar todos os comandos executados por um usuário. I SSH no host RHEL5 e execute sudo -i e, em seguida, anexado
session required pam_tty_audit.so disable=* enable=root
para o início da seção session dos arquivos /etc/pam.d/system-auth e /etc/pam.d/password-auth , conforme mostrado em este exemplo . Então reiniciei auditd service. Depois disso, executei aleatoriamente os comandos pwd e ls para fins de teste. Em seguida, digitei aureport --tty para verificar se há algum comando gravado. Mas parecia que nenhum comando foi gravado porque a saída do CLI era algo como:
TTY Report
===============================================
# date time event auid term sess comm data
===============================================
<no events of interest were found>.
Você tem alguma sugestão, obrigado!
Tags command-line pam linux rhel linux-audit