監控使用 SSH-CA（證書）登錄的使用者

我希望得到一些可以使用的方法的幫助……

我正在建構一個將使用 SSH-CA 的解決方案（即，通過證書完成身份驗證的 SSH）。

流程很簡單：

1) 使用者生成密鑰對

2) 使用 HSM 進行身份驗證並獲得公鑰簽名

3) SSH 伺服器驗證簽名和證書並允許訪問

（有額外的位，但基本上就是這樣）。

這是我的問題，我可以監控證書請求和 SSH 互動，但是如何監控使用者的操作？

由於這是針對 devOps 人員的，他們需要 root，所以大多數人都將以 root 身份登錄到 SSH 會話。

我仍然需要將發布的命令與實際的員工姓名或 ID 聯繫起來。

有什麼聰明的主意嗎？

我想過使用：

• 利用LD_PRELOAD提供一個基本的麵包屑路徑。
• 使用多個證書頒發機構，每個使用者一個。
• UNIX 組的使用，採用組的組。

但它們都是棘手的解決方案。

我會把這個作為答案:-)

對於使用者發出的審計命令（即使在他們使用su或切換到其他 uid 之後sudo），您需要auditd.

您可以在此處找到有關如何設置、如何解釋日誌和警告的詳細資訊。

引用自：https://serverfault.com/questions/1011105