我想审计 Linux 服务器上的所有命令。我们都有自己的登录帐户来执行操作,但有时我们需要 root 访问权限。这没问题。但是当我以我的用户身份登录时,我的操作不会被记录。我以任何用户身份登录似乎都没有被记录。
例如:
[oracle@testvmol ~]$ ls
Desktop Downloads Pictures test Videos
Documents Music Public Templates
[oracle@testvmol ~]$ rm test
[oracle@testvmol ~]$ su -
Password:
[root@testvmol ~]# ausearch -ts today -m tty -i
----
type=TTY msg=audit(04/11/2019 14:08:45.744:36) : tty pid=3574 uid=root auid=oracle ses=2 major=136 minor=0 comm=bash data="ausearch -ts today -m tty -i",<ret>
您只能看到记录切换后的操作。甚至用户切换本身都无法记录!所有内容都应立即记录...
这是我使用的配置。
vi /etc/pam.d/password-auth
vi /etc/pam.d/system-auth
session required pam_tty_audit.so open_only disable=* enable=root,oracle
有人能帮我记录所有动作吗?
答案1
这是因为我是通过控制台连接的。因此,如果您登录到控制台,您的操作将不会被记录。