<div dir="ltr"><div>Thanks for your reply.<br></div>Currently, our Linux kernel versions are mostly Redhat 2.6.18-xxx.el5. I wonder whether it supports this feature. <br></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Mon, Oct 7, 2013 at 8:13 PM, Richard Guy Briggs <span dir="ltr"><<a href="mailto:rgb@redhat.com" target="_blank">rgb@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">On Mon, Oct 07, 2013 at 10:30:24AM -0700, zhu xiuming wrote:<br>
> This is correct. The problem is,  this records every keystrokes and even<br>
> the password of the users. While I only care about the user command<br>
> history, I surely do not want to know their passwords.<br>
<br>
</div>There is now support in the upstream kernel (3.10-rc1) and in pam<br>
(1.1.8+) to not record passwords by default.  If you want the old<br>
behaviour, add the optional argument to pam_tty_audit: "log_passwd"<br>
<div class="im"><br>
> On Sun, Oct 6, 2013 at 2:40 PM, Trevor Vaughan <<a href="mailto:tvaughan@onyxpoint.com">tvaughan@onyxpoint.com</a>>wrote:<br>
> > Does pam_tty_audit with enable=* not do what you want?<br>
> ><br>
> > Trevor<br>
> ><br>
> > On Sun, Oct 6, 2013 at 5:26 PM, zhu xiuming <<a href="mailto:xiumingzhu@gmail.com">xiumingzhu@gmail.com</a>> wrote:<br>
> ><br>
> >> HI<br>
> >> I know this seems an old topic. But unfortunately, I can't find a<br>
> >> solution for this. I have googled long time. I tried following options:<br>
> >><br>
> >> 1. audit execv syscall,<br>
> >>     this does record every command typed any tty. However, it generates<br>
> >> lots of noise.  Sometimes, the execv syscall is so frequently called that<br>
> >> the system can't afford to log every call of it and it crashes !!!<br>
> >><br>
</div>> >> 2. use *pam_tty_audit.so<br>
> >> *<br>
> >> this makes it possible to record one or two users, not all users. *<br>
> >> *<br>
<div class="im">> >> So, may I ask, is this problem solvable by auditd or do I need other<br>
</div>> >> tools ?*<br>
> >><br>
> >> *<br>
> >> *Thanks a lot<br>
> ><br>
> > Trevor Vaughan<br>
<br>
- RGB<br>
<br>
--<br>
Richard Guy Briggs <<a href="mailto:rbriggs@redhat.com">rbriggs@redhat.com</a>><br>
Senior Software Engineer<br>
Kernel Security<br>
AMER ENG Base Operating Systems<br>
Remote, Ottawa, Canada<br>
Voice: <a href="tel:%2B1.647.777.2635" value="+16477772635">+1.647.777.2635</a><br>
Internal: (81) 32635<br>
Alt: <a href="tel:%2B1.613.693.0684x3545" value="+16136930684">+1.613.693.0684x3545</a><br>
</blockquote></div><br></div>