RH/OL 6 auditd 登录用户未经审核

RH/OL 6 auditd 登录用户未经审核

我想审计 Linux 服务器上的所有命令。我们都有自己的登录帐户来执行操作,但有时我们需要 root 访问权限。这没问题。但是当我以我的用户身份登录时,我的操作不会被记录。我以任何用户身份登录似乎都没有被记录。

例如:

[oracle@testvmol ~]$ ls
Desktop    Downloads  Pictures  test       Videos
Documents  Music      Public    Templates
[oracle@testvmol ~]$ rm test
[oracle@testvmol ~]$ su -
Password: 
[root@testvmol ~]# ausearch -ts today -m tty -i
----
type=TTY msg=audit(04/11/2019 14:08:45.744:36) : tty pid=3574 uid=root auid=oracle ses=2 major=136 minor=0 comm=bash data="ausearch -ts today -m tty -i",<ret>

您只能看到记录切换后的操作。甚至用户切换本身都无法记录!所有内容都应立即记录...

这是我使用的配置。

vi /etc/pam.d/password-auth
vi /etc/pam.d/system-auth
    session required pam_tty_audit.so open_only disable=* enable=root,oracle

有人能帮我记录所有动作吗?

答案1

这是因为我是通过控制台连接的。因此,如果您登录到控制台,您的操作将不会被记录。

相关内容