Я только что скомпилировал модуль pam_tty_audit, потому что мой дистрибутив Linux не включает его с обычными модулями PAM.
Я включил в /etc/common-session
строка конфигурации, как предложено в этот вопрос. В моем / var / log / messages я получал сообщение каждый раз, когда sudo
, crontab или логин выполняется:
login[18635]: pam_tty_audit(login:session): changed status from 0 to 1
Но когда я ищу события в журнале демона аудита, я не получаю ничего, связанного с командами, выполняемыми в этом пользовательском сеансе:
sudo /sbin/ausearch -ts today
----
time->Thu May 30 17:46:52 2013
type=DAEMON_START msg=audit(1369928812.430:3659): auditd start, ver=1.7.7 format=raw kernel=3.0.13-0.27-default auid=1010 pid=17873 subj=unconfined res=success
----
time->Thu May 30 17:57:01 2013
type=DAEMON_END msg=audit(1369929421.259:3660): auditd normal halt, sending auid=1010 pid=18874 subj= res=success
----
time->Thu May 30 17:57:01 2013
type=DAEMON_START msg=audit(1369929421.343:6499): auditd start, ver=1.7.7 format=raw kernel=3.0.13-0.27-default auid=1010 pid=18891 subj=unconfined res=success
Как вы можете видеть выше, в моих журналах аудита хранятся только запуск и остановка демона.
Конечно, я перенесу конфигурацию PAM из общего сеанса в login
и ssh
файлы.
Я сейчас очень запутался, потому что не могу понять причину, потому что не могу получить журнал аудита!
заранее спасибо
Хорошо, это была проблема только с конфигурацией. Полностью прочитав документацию Audit OpenSuse в [1], я смог разрешить демону Audit регистрировать изменения переменной. AUDITD_DISABLE_CONTEXTS
к "нет" в /etc/sysconfig/auditd
[1] http://doc.opensuse.org/products/draft/SLES/SLES-security_sd_draft/part.audit.html