Я работаю над коробкой центов 6.3 и пытаюсь регистрировать все команды, выполняемые из оболочки bash, и наткнулся на pam_tty_audit. Я добавил соответствующую строку в свой /etc/pam.d/system-auth file:
session required pam_tty_audit.so enable=*
Проблема в том, что он не захватывает команды, если пользователь не является root. Например, если я использую ssh как root, он записывает все в журнал аудита, но если я использую ssh как обычный пользователь, он не начинает ничего регистрировать до тех пор, пока я не получу su для root.
Любые идеи?
Это могло произойти из-за встроенной защиты от системы аудита. Вот соответствующая цитата от кого-то, кто занимается отладкой вашей ситуации. Похоже, что пользователям без полномочий root запрещено отправлять записи USER_TTY. Вместо этого команды будут записаны либо при выходе из bash, либо при заполнении буфера коллекции.
Вы должен сможете найти нужную информацию после выхода пользователя из системы.