나는 사용하려고pam_tty_audit사용자가 실행한 모든 명령을 기록합니다. RHEL5 호스트에 SSH로 연결하고 실행한 sudo -i다음 연결했습니다.
session required pam_tty_audit.so disable=* enable=root
session아래와 같이 sum 파일 섹션의 시작 부분에/etc/pam.d/system-auth/etc/pam.d/password-auth이 예. 그런 다음 auditd서비스를 다시 시작합니다 . 그 후 테스트를 위해 무작위로 pwd명령을 실행했습니다 ls. 그런 다음 aureport --tty레코드가 있는지 확인하는 명령을 입력합니다 . 그러나 CLI 출력은 다음과 유사하므로 명령이 기록되지 않은 것 같습니다.
TTY Report
===============================================
# date time event auid term sess comm data
===============================================
<no events of interest were found>.
제안사항이 있으신가요? 감사합니다!