我最近配置了 pam_tty_audit,虽然它确实记录了信息,但似乎直到用户注销后才记录信息。奇怪的是,它确实实时记录了一些内容,例如,如果我运行“nano hello”,它会记录“nano”而不带参数,但如果我注销并重新登录,“nano hello”就会出现在身份验证日志中。请参阅下面的示例,了解我所说的内容
- 16/03/14 07:01:05 113 0 ? 57 nano <^X>(用户注销后再次登录)
- 16/03/14 07:01:12 116 0 ? 57 bash,“nano hello”,,,,
对于 pam tty 审计来说这是正常行为吗?
答案1
根据顶部这篇博文对于非特权用户来说,您所看到的是正确的,只有当他们注销或收集到一定数量的字符时才会记录这些记录。
特权帐户会被立即记录。