Estou tentando usar o pam_tty_audit para gravar todos os comandos executados por um usuário. I SSH no host RHEL5 e execute sudo -i
e, em seguida, anexado
session required pam_tty_audit.so disable=* enable=root
para o início da seção session
dos arquivos /etc/pam.d/system-auth
e /etc/pam.d/password-auth
, conforme mostrado em este exemplo . Então reiniciei auditd
service. Depois disso, executei aleatoriamente os comandos pwd
e ls
para fins de teste. Em seguida, digitei aureport --tty
para verificar se há algum comando gravado. Mas parecia que nenhum comando foi gravado porque a saída do CLI era algo como:
TTY Report
===============================================
# date time event auid term sess comm data
===============================================
<no events of interest were found>.
Você tem alguma sugestão, obrigado!
Tags command-line pam linux rhel linux-audit