<div dir="ltr">Does pam_tty_audit with enable=* not do what you want?<div><br></div><div>Trevor</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sun, Oct 6, 2013 at 5:26 PM, zhu xiuming <span dir="ltr"><<a href="mailto:xiumingzhu@gmail.com" target="_blank">xiumingzhu@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div><div><div>HI<br></div>I know this seems an old topic. But unfortunately, I can't find a solution for this. I have googled long time. I tried following options:<br>
<br></div>1. audit execv syscall, <br>
</div>    this does record every command typed any tty. However, it generates lots of noise.  Sometimes, the execv syscall is so frequently called that the system can't afford to log every call of it and it crashes !!!<br>

<br></div>2. use <b>pam_tty_audit.so<br></b></div>this makes it possible to record one or two users, not all users. <b><br></b><br></div>So, may I ask, is this problem solvable by auditd or do I need other tools ?<b><br>
<br>
</b></div><b>Thanks a lot<br></b><div><div><div><b><br></b></div></div></div></div>
<br>--<br>
Linux-audit mailing list<br>
<a href="mailto:Linux-audit@redhat.com">Linux-audit@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/linux-audit" target="_blank">https://www.redhat.com/mailman/listinfo/linux-audit</a><br></blockquote></div><br><br clear="all"><div><br></div>-- <br>Trevor Vaughan<br>Vice President, Onyx Point, Inc<br>
(410) 541-6699<br><a href="mailto:tvaughan@onyxpoint.com">tvaughan@onyxpoint.com</a><br><br>-- This account not approved for unencrypted proprietary information --
</div>