我们正在尝试使用 type=USER_CMD 的 auditd 开始记录 CentOS 上用户(包括 root)执行的所有命令,我们该怎么做?
我们已经获得了命令,从 sudo 开始,但没有其他命令。
Auditd 设置,允许我们登录 sudo 操作:
-w /var/log/sudo.log -p wa -k actions
-w /etc/sudoers -p wa -k scope
但是我们如何记录所有用户通过 shell 执行的所有命令呢?
CentOS USER_CMD 日志 auditd