端末とシリアルポートに入力されたコマンドを確認しようとしています。そのために、私はauditdデーモンを使用しています。これは、ファイルの監査に役立ちます。auditclデーモンを使用したデバイスファイルの監査
端末とシリアルデバイスで何が起きているかを見るために、/ dev/ttyと/ dev/ttyAMA0に関する監査ルールを作成すると考えました。
auditctl -w /dev/tty -p rwx -k terminal
auditctl -w /dev/ttyAMA0 -p rwx -k serialport
しかし、これは、TTYにだけエコーを記録します。ターミナルで入力されたすべてのコマンドを監査することはできません。私は/etc/pam.d/sshdファイルにsession required pam_tty_audit.so enable=*
を追加することで、PAMファイルのttyロギングも有効にしました。
この監査を行う方法は他にありますか。すべての監査ログが1つのファイルに収まるように、auditdデーモンだけを使用したいと思います。
私はこれを 'auditctl -a exit、always -F euid = 0 -S execve'で行いました。とにかくそれをフィルタリングするには? – user2314946