我正在使用 cents 6.3 机器,并尝试记录从 bash shell 执行的所有命令,并遇到了 pam_tty_audit。我已将相应的行添加到我的/etc/pam.d/system-auth file:
session required pam_tty_audit.so enable=*
问题是,除非用户是 root,否则它似乎不会捕获命令。例如,如果我以 root 身份 ssh 进入,它会将所有内容记录到审计日志中,但如果我以普通用户身份 ssh,它不会开始记录任何内容,直到我 su 为 root 之后。
有任何想法吗?
答案1
这可能是由于审计系统内置了保护措施。以下是某人在调试与您相同情况时的相关引述。似乎非 root 用户无法发送 USER_TTY 记录。相反,命令将在 bash 退出或收集缓冲区填满时写出。
你应该在用户退出后仍能找到您所需的信息。