Я пытаюсь реализовать индивидуальную подотчетность для своих систем RHEL, используя selinux и audit.log. Я выполнил инструкции, приведенные здесь: Регистрируйте все команды, выполняемые администраторами на производственных серверах
Если я правильно понимаю, pam_loginuid.so должен сохранить UID, который использовался для входа в систему, и установить его как AUID в файле audit.log. К сожалению, это не работает после вс. Когда я вхожу в систему и звоню cat / proc / self / loginuid он отображает мой правильный UID. Если я вызову sudo su - и позвони cat / proc / self / loginuid снова отображается 0. Также идентификатор 0 используется в audit.log как AUID для команд, которые я вызываю после sudo su -.
Что я здесь делаю не так?
Вот мой файл pam.d / sshd:
auth include system-auth
account required pam_nologin.so
account include system-auth
password include system-auth
session optional pam_keyinit.so revoke
session required pam_loginuid.so
session include system-auth
Я включил audit = 1 в /etc/grub.conf и отредактировал /etc/audit/audit.rules, как описано в сообщении выше.
Убедитесь, что вы не загружаете pam_loginuid.so модуль из любого из следующих /etc/pam.d/ файлы:
susudosu и sudo, через @includeИзменить: см. Также эту ошибку https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=741546