pam_tty_audit e utenti non privilegiati

Sto lavorando su una casella di centesimi 6.3 e sto cercando di registrare tutti i comandi eseguiti da una shell di bash e sono venuti a trovare pam_tty_audit. Ho aggiunto la row appropriata al mio /etc/pam.d/system-auth file :

 session required pam_tty_audit.so enable=* 

Il problema è che non sembra catturare i comandi a less che un utente sia root. Ad esempio, se i ssh in come root registra tutto il registro di controllo, ma se ssh come utente normale non inizia a registrare nulla fino a quando non ho su per root.

  • Installazione basato su Kickstart di RHEL 6.4 da USB
  • centos yum remove mysql rimuoverà i componenti principali
  • limitare ssh per eseguire comandi per alcuni utenti
  • Come sopprimere una risorsa Heartbeat dall'avvio nel data center di failover?
  • Qual è il modo corretto di caricare i moduli per iptables su Centos 6
  • iptables: consentire l'intervallo di porte ma negare a determinati IP
  • Qualche idea?

  • Perché la ricerca ausiliaria ignora le voci?
  • Revisione delle modifiche al registro di controllo
  • Come abilitare il controllo syscall in CoreOs?
  • Che cosa registra auditd per impostazione predefinita (cioè quando non sono definite regole?)
  • Suggerimento per l'impostazione di auditd
  • C'è un modo per sapere perché un servizio è riavviato e chi lo ha fatto?
  • One Solution collect form web for “pam_tty_audit e utenti non privilegiati”

    Ciò potrebbe essere dovuto ad una protezione integrata dal sistema di controllo. Ecco una citazione rilevante da qualcuno che debuga la tua stessa situazione. Sembra che gli utenti non-root si impediscano di submit i record USER_TTY. Invece i comandi verranno scritti quando il bash esce o il buffer di raccolta si riempie.

    Dovresti essere in grado di trovare le informazioni che stai cercando dopo l'accesso.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.