使用 vim /etc/pam.d/password-auth 或者 vim /etc/pam.d/system-auth 编辑PAM模块, 配置用户命令的PAM审核
session required...pam_tty_audit.so disable=user1,user2 enable=user3,user4
如果我们需要记录所有用户的数据(包括密码), 还需要使用log_passwd选项
session..., 测试发现root 用户截取的通常为明文, 其他账户截取的是 hex 加密的数据, 如 data=70617373776F72640A
cat /var/log/audit/audit.log
这个配置在...Kernel 3.9及更高版本中受支持, 这种方法适用于 su/sudo 获取加密的密码数据(hex 加密的), 但是无法获取系统登录的密码,如果需要记录,作者提供了参考链接(http://www.adeptus-mechanicus.com