Se seu objetivo é monitorar o sistema, você deseja pam_tty_audit
. Como o nome indica, pam_tty_audit
é um módulo pam que, quando configurado corretamente, é invocado toda vez que um usuário abre uma sessão (e recebe um TTY). O módulo registra todas as entradas & saída e envia tudo o que grava para o daemon auditd . Você pode então executar consultas no daemon auditd para visualizar os logs.
O RedHat fornece um guia interessante sobre como começar a usar o pam_tty_audit
: link
Para distros não baseados em RedHat ou Fedora, o guia ainda funciona, mas pode precisar de pequenos ajustes para os nomes dos arquivos em /etc/pam.d/
.
Note que não é completamente infalível. Existem maneiras de executar comandos sem um TTY. Por exemplo, ao conectar via ssh, você pode fazer ssh foo.example.com bash -i
e, como um comando foi especificado, nenhum TTY é alocado. Embora existam coisas que você pode fazer para evitar isso.
Você também deseja garantir que o acesso ao log esteja protegido. pam_tty_audit
registra a atividade ALL TTY, incluindo as senhas que você digita.