我尝试使用 selinux 和 audit.log 为我的 RHEL 系统实施个人责任制。我遵循了此处给出的说明:记录管理员在生产服务器上运行的所有命令
如果我理解正确的话,pam_loginuid.so 应该保留用于登录的 UID,并将其设置为 audit.log 文件中的 AUID。不幸的是,在苏。当我登录系统并调用cat /proc/self/loginuid它会显示我的正确 UID。如果我调用须藤苏-并调用cat /proc/self/loginuid再次,它显示 0。此外,ID 0 在 audit.log 中用作我在之后调用的命令的 AUID须藤苏-。
我在这里做错了什么?
这是我的 pam.d/sshd 文件:
auth include system-auth
account required pam_nologin.so
account include system-auth
password include system-auth
session optional pam_keyinit.so revoke
session required pam_loginuid.so
session include system-auth
我在 /etc/grub.conf 中启用了 audit=1 并按照上述帖子所述编辑了 /etc/audit/audit.rules。
答案1
确保不要pam_loginuid.so从以下任何/etc/pam.d/文件加载模块:
susudo- 文件中包括的文件,
su并sudo通过@include
编辑:另请参阅此错误https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=741546