auditd auid change après su

J'essaie de mettre en place une responsabilité individuelle pour mes systèmes RHEL en utilisant selinux et audit.log. J'ai suivi les instructions données ici: Enregistrez toutes les commands exécutées par les administrateurs sur les servers de production

Si je comprends bien, le pam_loginuid.so devrait conserver l'UID utilisé pour se connecter et le configurer comme AUID dans le file audit.log. Malheureusement, cela ne fonctionne pas après su . Lorsque je me connecte au système et que j'appelle cat / proc / self / loginuid, il affiche mon UID correct. Si j'invoque sudo su – et j'appelle cat / proc / self / loginuid à nouveau, il affiche 0. L'ID 0 est également utilisé dans audit.log comme AUID pour les commands que j'invoque après sudo su – .

Qu'est-ce que je fais mal ici?

Voici mon file pam.d / sshd:

auth include system-auth account required pam_nologin.so account include system-auth password include system-auth session optional pam_keyinit.so revoke session required pam_loginuid.so session include system-auth 

J'ai activé audit = 1 dans /etc/grub.conf et édité /etc/audit/audit.rules comme décrit dans la publication ci-dessus.

One Solution collect form web for “auditd auid change après su”

Assurez-vous de ne pas charger le module pam_loginuid.so partir de l'un des files /etc/pam.d/ suivants:

  • su
  • sudo
  • files inclus dans les files su et sudo , via @include

Modifier: Voir aussi ce bug https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=741546

  • SELinux prévenant les tasses-pdf output to samba shared directory
  • SELinux empêche l'access à / var / log en raison de Docker
  • Raisons de désactiver / activer SELinux
  • Règles SELinux dans CentOS 7 avec Samba et SSSD sur la génération de tickets Kerberos
  • Qu'est-ce que "AVC invalide autorisé dans la politique actuelle" signifie?
  • Chroot local VSFTPD users dans leurs propres directorys respectifs
  • Nouvelle installation de Dovecot ne permettant pas la connection, donnant des permissions d'erreur malgré le fait que les permissions "apparaissent correctes"
  • httpd, vsftpd et le molinux ennuyant
  • SELinux: Laisser Apache parler à MySQL sur CentOS
  • SELinux - Le script a téléchargé des keys SSH sur un server distant mais ne peut pas se connecter via SSH
  • ProFTPd et SELinux: mkdir Autorisation refusée
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.