我正在尝试使用pam_tty_审计记录用户运行的每条命令。我通过 SSH 进入 RHEL5 主机并运行sudo -i
,然后附加
session required pam_tty_audit.so disable=* enable=root
到和文件session
部分的开头,如下所示/etc/pam.d/system-auth
/etc/pam.d/password-auth
这个例子。然后我重新启动auditd
服务。之后,我随机运行pwd
命令ls
以进行测试。然后我输入aureport --tty
检查是否有记录的命令。但似乎没有记录任何命令,因为 CLI 输出类似于:
TTY Report
===============================================
# date time event auid term sess comm data
===============================================
<no events of interest were found>.
有什么建议吗,谢谢!