Я пытаюсь реализовать отдельную отслеживаемость для своих систем RHEL с помощью selinux и audit.log. Я следовал инструкциям, данным здесь: Зарегистрируйте все команды, выполненные администраторами на рабочих серверах
Если я понимаю это правильно, pam_loginuid.so должен сохранить UID, который использовался, чтобы войти и установить его как AUID в файле audit.log. К сожалению, это не работает после su. Когда я вхожу в систему и называю кошку/proc/self/loginuid, она отображает мой корректный UID. Если я вызываю sudo su - и называю кошку/proc/self/loginuid снова, это отображается 0. Также идентификатор 0 используется в audit.log в качестве AUID для команд, которые я вызываю после sudo su-.
Что я делаю неправильно здесь?
Вот мой pam.d/sshd файл:
auth include system-auth
account required pam_nologin.so
account include system-auth
password include system-auth
session optional pam_keyinit.so revoke
session required pam_loginuid.so
session include system-auth
Я включил audit=1 в/etc/grub.conf и отредактировал/etc/audit/audit.rules, как описано в сообщении выше.
Убедитесь, что вы не загружаете модуль pam_loginuid.so
из любого из следующих файлов /etc/pam.d/
:
su
sudo
su
и sudo
, с помощью @включить
Edit: См. также эту ошибку https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=741546