Наша сеть включает в себя несколько разновидностей системы, но все они CentOS 7 и работают либо с KDE, либо с Gnome. Я реализовал правило:
-w /usr/lib64/security/pam_sss.so -p rwxa
И это работает для KDE - он создает запись аудита каждый раз, когда запускается / usr / libexec / kde4 / kcheckpass. Но есть две проблемы:
Что еще можно попробовать? Нам необходимо отслеживать вход и выход пользователей из системы, и руководство считает, что разблокировка заставки является частью этого. Если это имеет значение, мы используем auditbeat вместо аудита, но синтаксис правил, по-видимому, практически тот же.