sudo normalmente solo registrará el comando que ejecuta explícitamente. Si un usuario ejecuta un comando como sudo su o sudo sh, los comandos subsiguientes ejecutados desde ese shell no están sujetos a la política de seguridad de sudo. Lo mismo ocurre con los comandos que ofrecen escapes de shell (incluida la mayoría de los editores). Si el registro de E/S está habilitado, los comandos subsiguientes tendrán su entrada y/o salida registrada, pero no habrá registros tradicionales para esos comandos.
1. Edite /etc/sudoers archivo usando el comando:visudo y agregue la siguiente entrada:
# visudo Defaults log_output Defaults log_input Defaults iolog_dir=/backup/SUDO_IO_LOG
Por ejemplo,
# cat /etc/sudoers ... # add log Defaults log_output Defaults log_input Defaults iolog_dir=/backup/SUDO_IO_LOG
2. ubicación de registro
# pwd /backup/SUDO_IO_LOG # ls 00 seq