Ssh

監控使用 SSH-CA(證書)登錄的使用者

  • April 6, 2020

我希望得到一些可以使用的方法的幫助……

我正在建構一個將使用 SSH-CA 的解決方案(即,通過證書完成身份驗證的 SSH)。

流程很簡單:

1) 使用者生成密鑰對

2) 使用 HSM 進行身份驗證並獲得公鑰簽名

3) SSH 伺服器驗證簽名和證書並允許訪問

(有額外的位,但基本上就是這樣)。

這是我的問題,我可以監控證書請求和 SSH 互動,但是如何監控使用者的操作?

由於這是針對 devOps 人員的,他們需要 root,所以大多數人都將以 root 身份登錄到 SSH 會話。

我仍然需要將發布的命令與實際的員工姓名或 ID 聯繫起來。

有什麼聰明的主意嗎?

我想過使用:

  • 利用LD_PRELOAD提供一個基本的麵包屑路徑。
  • 使用多個證書頒發機構,每個使用者一個。
  • UNIX 組的使用,採用組的組。

但它們都是棘手的解決方案。

我會把這個作為答案:-)

對於使用者發出的審計命令(即使在他們使用su或切換到其他 uid 之後sudo),您需要auditd.

您可以在此處找到有關如何設置、如何解釋日誌和警告的詳細資訊。

引用自:https://serverfault.com/questions/1011105