我已经在 RHEL6 服务器中配置了 Auditd,并使用以下方式启用了 TTY 日志记录
pam_tty_audit.so enable=*
在 /etc/pam.d/system-auth 和 /etc/pam.d/password-auth 中
我没有在 audit.rules 文件中配置任何其他规则,因为我只对记录用户执行的命令感兴趣,而不是跟踪所有流程活动
我可以在此服务器本地看到用户执行的命令。但如果用户使用 SSH 从其他服务器远程执行命令,例如
ssh userid@<rhel server> date
这些命令未记录在审计日志中。有什么方法可以记录这些命令吗?
答案1
您需要编辑 /etc/pam.d/sshd 来审计 ssh
看这里https://blog.shichao.io/2015/04/22/auditing_user_tty_and_root_commands_with_auditd_on_ubuntu.html