我正在研究
一个6.3美分的盒子,我正在尝试记录从bash
shell执行的所有命令,并遇到了pam_tty_audit.我在/etc/pam.d/sy
stem-auth
文件中
添加了相应的行:
session required pam_tty_audit.so enable=*
问题是除非用户是root用户,否则它似乎不捕获命令.例如,如果我以root身份ssh,它会将所有内容记录到审核日志中,但如果我作为普通用户使用ssh,那么在我将su设置为root之前,它不会开始记录任何内容.
有任何想法吗?
这可能是由于审计系统的内置保护.以下是调试相同情况的人的相关引用.看起来好像非root
用户无法发送USER_TTY记录.相反,当bash
退出或收集缓冲区填满时,将写出命令.
您应该能够在用户注销后找到您要查找的信息.
