Ssh
監控使用 SSH-CA(證書)登錄的使用者
我希望得到一些可以使用的方法的幫助……
我正在建構一個將使用 SSH-CA 的解決方案(即,通過證書完成身份驗證的 SSH)。
流程很簡單:
1) 使用者生成密鑰對
2) 使用 HSM 進行身份驗證並獲得公鑰簽名
3) SSH 伺服器驗證簽名和證書並允許訪問
(有額外的位,但基本上就是這樣)。
這是我的問題,我可以監控證書請求和 SSH 互動,但是如何監控使用者的操作?
由於這是針對 devOps 人員的,他們需要 root,所以大多數人都將以 root 身份登錄到 SSH 會話。
我仍然需要將發布的命令與實際的員工姓名或 ID 聯繫起來。
有什麼聰明的主意嗎?
我想過使用:
- 利用
LD_PRELOAD
提供一個基本的麵包屑路徑。- 使用多個證書頒發機構,每個使用者一個。
- UNIX 組的使用,採用組的組。
但它們都是棘手的解決方案。
我會把這個作為答案:-)
對於使用者發出的審計命令(即使在他們使用
su
或切換到其他 uid 之後sudo
),您需要auditd
.您可以在此處找到有關如何設置、如何解釋日誌和警告的詳細資訊。