On 11/07/2014 02:35 PM, Adrian Popa wrote: > Mulțumesc pentru sugestie - o să studiez. Recunosc că la prima vedere > logurile sunt prea stufoase... > > Mai aștept recomandări - logging-ul de telnet/ssh are ca scop și oferirea > utilizatorului posibilitatea să își auditeze singur ce a executat pe acolo > și ar trebui să fie într-un format cât mai apropriat de sesiunea > interactivă. Daca doresti numai functionalitatea de ssh jump host poti sa faci disable la terminal (/sbin/nologin) si doar setezi pentru fiecare user in parte configul de jump host (passwordless auth de la jumphost la target) .. scapi de auditarea pe jump host..
Adrian > > Numai bine > > 2014-11-07 11:44 GMT+02:00 manuel "lonely wolf" wolfshant <[email protected] >> : > >> On 11/07/2014 11:36 AM, Adrian Popa wrote: >>> Salut, >>> >>> Aș vrea să aflu și eu dacă cunoașteți soluții "oficiale" care să permită >>> logging-ul comenzilor și al outputurilor (bonus points dacă asta e >>> opțională) care sunt executate de diverși useri pe un sistem linux >> folosind >>> bash interactiv. >>> >>> Planul e să pregătesc un server pe post de jump server în care userii să >>> intre cu ssh și să poată executa comenzi bash de bază (gen cat, grep, cd, >>> ls, etc) și să poată face telnet/ssh pe alte sisteme. >>> >>> S-a pus problema auditării tuturor comenzilor și outputurilor existente. >>> >>> Metoda brute force ar fi cu editarea surselor bash, telnet, ssh și >>> recompilare, sau folosirea unor wrappere care să facă tee într-un fișier, >>> dar înainte să mă dau cu capul de pereți aș vrea să întreb dacă >> cunoașteți >>> ceva soluții standardizate pentru problema asta. >>> >>> Mulțumesc! >>> >>> P.S. Momentan studiez asta: >>> http://www.pointsoftware.ch/en/howto-bash-audit-command-logger/ >> linuxvm.org/present/SHARE113/S9203sw.pdf >> >> https://www.netiq.com/documentation/change-guardian/changeguardianuserguide/data/b13v6jsf.html >> >> pt a scurta prezentarea: subsystemul audit iti permite sa faci logging >> la mult mai mult decit isi doreste orice om normal sa afle. poti loga >> inclusiv ce taste au fost apasate ( ceea ce devine "amuzant" cind ai un >> cetatean care scrie/sterge/sterge/scrie/sterge.. pt ca se memoreaza >> *absolut toate* apasarile de taste) >> >> ps: AFAIK e solutia acceptata de PCI pt compliance. >> >> _______________________________________________ >> RLUG mailing list >> [email protected] >> http://lists.lug.ro/mailman/listinfo/rlug >> > _______________________________________________ > RLUG mailing list > [email protected] > http://lists.lug.ro/mailman/listinfo/rlug > -- ---------------------------------------------- Adrian Sevcenco, Ph.D. | Institute of Space Science - ISS, Romania | adrian.sevcenco at {cern.ch,spacescience.ro} | ----------------------------------------------
_______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
