sudo n'enregistrera normalement que la commande qu'il exécute explicitement. Si un utilisateur exécute une commande telle que sudo su ou sudo sh, les commandes suivantes exécutées à partir de ce shell ne sont pas soumises à la politique de sécurité de sudo. Il en va de même pour les commandes qui offrent des échappements shell (y compris la plupart des éditeurs). Si la journalisation des E/S est activée, les entrées et/ou sorties des commandes suivantes seront enregistrées, mais il n'y aura pas de journaux traditionnels pour ces commandes.
1. Modifiez /etc/sudoers fichier en utilisant la commande :visudo et ajoutez l'entrée ci-dessous :
# visudo Defaults log_output Defaults log_input Defaults iolog_dir=/backup/SUDO_IO_LOG
Par exemple,
# cat /etc/sudoers ... # add log Defaults log_output Defaults log_input Defaults iolog_dir=/backup/SUDO_IO_LOG
2. emplacement du journal
# pwd /backup/SUDO_IO_LOG # ls 00 seq