Назад | Перейти на главную страницу

pam_tty_audit явно не работает

Я только что скомпилировал модуль pam_tty_audit, потому что мой дистрибутив Linux не включает его с обычными модулями PAM.

Я включил в /etc/common-session строка конфигурации, как предложено в этот вопрос. В моем / var / log / messages я получал сообщение каждый раз, когда sudo, crontab или логин выполняется:

login[18635]: pam_tty_audit(login:session): changed status from 0 to 1

Но когда я ищу события в журнале демона аудита, я не получаю ничего, связанного с командами, выполняемыми в этом пользовательском сеансе:

sudo /sbin/ausearch -ts today
----
time->Thu May 30 17:46:52 2013
type=DAEMON_START msg=audit(1369928812.430:3659): auditd start, ver=1.7.7 format=raw kernel=3.0.13-0.27-default auid=1010 pid=17873 subj=unconfined  res=success
----
time->Thu May 30 17:57:01 2013
type=DAEMON_END msg=audit(1369929421.259:3660): auditd normal halt, sending auid=1010 pid=18874 subj= res=success
----
time->Thu May 30 17:57:01 2013
type=DAEMON_START msg=audit(1369929421.343:6499): auditd start, ver=1.7.7 format=raw kernel=3.0.13-0.27-default auid=1010 pid=18891 subj=unconfined  res=success

Как вы можете видеть выше, в моих журналах аудита хранятся только запуск и остановка демона.

Конечно, я перенесу конфигурацию PAM из общего сеанса в login и ssh файлы.

Я сейчас очень запутался, потому что не могу понять причину, потому что не могу получить журнал аудита!

заранее спасибо

Хорошо, это была проблема только с конфигурацией. Полностью прочитав документацию Audit OpenSuse в [1], я смог разрешить демону Audit регистрировать изменения переменной. AUDITD_DISABLE_CONTEXTS к "нет" в /etc/sysconfig/auditd

[1] http://doc.opensuse.org/products/draft/SLES/SLES-security_sd_draft/part.audit.html