我正在尝试在 Ubuntu 18.04 服务器下整合一个 TTY 日志记录功能,并创建/etc/pam.d/tty-审计内容如下:
session required pam_tty_audit.so enable=*
并补充说/etc/pamd.d/common-auth:
@include tty-audit
我想要的只是让auditd收集仅有的TTY 类型的事件,但我找不到正确的配置。以下内容:
## First rule - delete all
-D
## Increase the buffers to survive stress events.
## Make this bigger for busy systems
-b 16384
## This determine how long to wait in burst of events
--backlog_wait_time 0
## Set failure mode to syslog
-f 1
-a always,exit -F arch=b64 -F msgtype=TTY -S execve -k root-cmd
-a always,exit -F arch=b32 -F msgtype=TTY -S execve -k root-cmd
auditd 启动后加载规则时出错
msgtype 字段只能与排除或用户过滤列表一起使用
如何配置它以满足我的需求?似乎可以仅排除某些消息类型,但我不想包括任何消息类型,而只收集我在 audit.rules 中指定的消息类型。