auditd auid change après su

J'essaie de mettre en place une responsabilité individuelle pour mes systèmes RHEL en utilisant selinux et audit.log. J'ai suivi les instructions données ici: Enregistrez toutes les commands exécutées par les administrateurs sur les servers de production

Si je comprends bien, le pam_loginuid.so devrait conserver l'UID utilisé pour se connecter et le configurer comme AUID dans le file audit.log. Malheureusement, cela ne fonctionne pas après su . Lorsque je me connecte au système et que j'appelle cat / proc / self / loginuid, il affiche mon UID correct. Si j'invoque sudo su – et j'appelle cat / proc / self / loginuid à nouveau, il affiche 0. L'ID 0 est également utilisé dans audit.log comme AUID pour les commands que j'invoque après sudo su – .

Qu'est-ce que je fais mal ici?

Voici mon file pam.d / sshd:

auth include system-auth account required pam_nologin.so account include system-auth password include system-auth session optional pam_keyinit.so revoke session required pam_loginuid.so session include system-auth 

J'ai activé audit = 1 dans /etc/grub.conf et édité /etc/audit/audit.rules comme décrit dans la publication ci-dessus.

One Solution collect form web for “auditd auid change après su”

Assurez-vous de ne pas charger le module pam_loginuid.so partir de l'un des files /etc/pam.d/ suivants:

  • su
  • sudo
  • files inclus dans les files su et sudo , via @include

Modifier: Voir aussi ce bug https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=741546

  • PHP ne s'exécute pas sur Fedora 15
  • SELinux empêche Fail2Ban de recevoir un courrier électronique via msmtp
  • Le context du path de file SELinux ne fonctionne pas avec regex
  • SELinux - logrotate ne tourne pas les journaux NGINX
  • SELinux: ne peut pas limiter le process Firefox au domaine mozilla_t
  • Selinux interfère avec vboxwebsrv ou phpvirtualbox
  • Autorisations SELinux pour LogRotate et Apache
  • Pourquoi ne puis-je pas arrêter l'instance kvm?
  • RHEL SELinux bloque l'access d'Apache à PostgreSQL
  • Selinux multiples types pour le directory
  • SELinux - Mise en route pour vraiment le comprendre?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.