我正在尝试使用以下方式实现 pam tty 审计http://jaredrobinson.com/blog/linux-tty-auditing/但它对我来说不起作用。
有人能告诉我,除了“/etc/pam.d/system-auth”中的“会话需要 pam_tty_audit.so enable=*”条目之外,还需要其他什么才能使其在 CentOS 6.4 上运行。
为了测试,我启动了与机器的新会话。执行几个命令,然后执行 aureport --tty。它应该打印我执行的命令,但事实并非如此。
端口映射
TTY Report
===============================================
# date time event auid term sess comm data
===============================================
<no events of interest were found>.
答案1
问题已解决。“session required pam_tty_audit.so enable=*”必须是会话部分的第一行才能使其正常工作。