我刚刚编译了 pam_tty_audit 模块,因为我的 Linux 发行版没有将其包含在常见的 PAM 模块中。
我将其添加到/etc/common-session配置行中,如这个问题每次sudo执行某些 crontab 或 login 时,我都会在 /var/log/messages 上收到一条消息:
login[18635]: pam_tty_audit(login:session): changed status from 0 to 1
但是,当我在审计守护程序日志中搜索事件时,我没有得到与该用户会话上执行的命令相关的任何内容:
sudo /sbin/ausearch -ts today
----
time->Thu May 30 17:46:52 2013
type=DAEMON_START msg=audit(1369928812.430:3659): auditd start, ver=1.7.7 format=raw kernel=3.0.13-0.27-default auid=1010 pid=17873 subj=unconfined res=success
----
time->Thu May 30 17:57:01 2013
type=DAEMON_END msg=audit(1369929421.259:3660): auditd normal halt, sending auid=1010 pid=18874 subj= res=success
----
time->Thu May 30 17:57:01 2013
type=DAEMON_START msg=audit(1369929421.343:6499): auditd start, ver=1.7.7 format=raw kernel=3.0.13-0.27-default auid=1010 pid=18891 subj=unconfined res=success
正如您上面看到的,我的审计日志中只存储了守护进程的启动和停止。
当然,我会将 PAM 配置从 common-session 移至login和ssh文件。
我现在很困惑,因为我无法获取审计日志,所以我无法理解原因!
提前致谢
答案1
好的,这只是一个配置问题。完整阅读了 [1] 中的 Audit OpenSuse 文档后,我能够启用 Audit 守护进程来记录将变量修改AUDITD_DISABLE_CONTEXTS为“no”/etc/sysconfig/auditd
[1]http://doc.opensuse.org/products/draft/SLES/SLES-security_sd_draft/part.audit.html