我只编译了pam_tty_audit模块,因为我的Linux发行版不包含它通常的PAM模块。
我在/etc/common-session了configuration行,正如这个问题所build议的那样。 在我的/ var / log / messages中,每当有一些sudo ,crontab或login被执行时,
login[18635]: pam_tty_audit(login:session): changed status from 0 to 1
但是,当我在审计守护进程日志上search事件时,我没有得到任何与在该用户会话上执行的命令相关的信息:
sudo /sbin/ausearch -ts today ---- time->Thu May 30 17:46:52 2013 type=DAEMON_START msg=audit(1369928812.430:3659): auditd start, ver=1.7.7 format=raw kernel=3.0.13-0.27-default auid=1010 pid=17873 subj=unconfined res=success ---- time->Thu May 30 17:57:01 2013 type=DAEMON_END msg=audit(1369929421.259:3660): auditd normal halt, sending auid=1010 pid=18874 subj= res=success ---- time->Thu May 30 17:57:01 2013 type=DAEMON_START msg=audit(1369929421.343:6499): auditd start, ver=1.7.7 format=raw kernel=3.0.13-0.27-default auid=1010 pid=18891 subj=unconfined res=success
正如你所看到的,只有守护进程的开始和结束被存储在我的审计日志中。
当然,我会将PAMconfiguration从常见会话移动到login和ssh文件。
我现在很困惑,因为我不明白原因,因为我不能得到审计日志!
提前致谢
好吧,这只是一个configuration问题。 完整阅读[1]中的Audit OpenSuse文档,我能够使Audit Audit守护程序在/etc/sysconfig/auditdlogging修改variablesAUDITD_DISABLE_CONTEXTS为“no”
[1] http://doc.opensuse.org/products/draft/SLES/SLES-security_sd_draft/part.audit.html