我正在一个美分6.3盒子,并试图logging从一个bash shell执行的所有命令,并遇到了pam_tty_audit。 我已经将适当的行添加到我的/etc/pam.d/system-auth file :
session required pam_tty_audit.so enable=*
问题是,除非用户是root用户,否则不会捕获命令。 例如,如果我以root身份login,它会将所有日志logging到审计日志中,但是如果我以普通用户的身份login,那么直到root拥有su后才会开始logging任何内容。
有任何想法吗?
这可能是由于对审计系统的内置保护。 这里有一个debugging你的相同情况的人的相关引用。 看起来好像非root用户被阻止发送USER_TTYlogging。 相反,当bash退出或收集缓冲区填满时,命令将被写出。
您应该能够在用户注销后查找您要查找的信息。