Problema e că nu e un singur target. Userul tb să-și poată alege targetul, metoda de conectare, sau doar să dea un ping.
Soluțiile pe care le caut nu tb să fie PCI compliant, ci doar să fie mai elegante decât niște dirty hacks 2014-11-07 14:48 GMT+02:00 Adrian Sevcenco <[email protected]>: > On 11/07/2014 02:35 PM, Adrian Popa wrote: > > Mulțumesc pentru sugestie - o să studiez. Recunosc că la prima vedere > > logurile sunt prea stufoase... > > > > Mai aștept recomandări - logging-ul de telnet/ssh are ca scop și oferirea > > utilizatorului posibilitatea să își auditeze singur ce a executat pe > acolo > > și ar trebui să fie într-un format cât mai apropriat de sesiunea > > interactivă. > Daca doresti numai functionalitatea de ssh jump host poti sa faci > disable la terminal (/sbin/nologin) si doar setezi pentru fiecare user > in parte configul de jump host (passwordless auth de la jumphost la > target) .. scapi de auditarea pe jump host.. > > Adrian > > > > > > Numai bine > > > > 2014-11-07 11:44 GMT+02:00 manuel "lonely wolf" wolfshant < > [email protected] > >> : > > > >> On 11/07/2014 11:36 AM, Adrian Popa wrote: > >>> Salut, > >>> > >>> Aș vrea să aflu și eu dacă cunoașteți soluții "oficiale" care să > permită > >>> logging-ul comenzilor și al outputurilor (bonus points dacă asta e > >>> opțională) care sunt executate de diverși useri pe un sistem linux > >> folosind > >>> bash interactiv. > >>> > >>> Planul e să pregătesc un server pe post de jump server în care userii > să > >>> intre cu ssh și să poată executa comenzi bash de bază (gen cat, grep, > cd, > >>> ls, etc) și să poată face telnet/ssh pe alte sisteme. > >>> > >>> S-a pus problema auditării tuturor comenzilor și outputurilor > existente. > >>> > >>> Metoda brute force ar fi cu editarea surselor bash, telnet, ssh și > >>> recompilare, sau folosirea unor wrappere care să facă tee într-un > fișier, > >>> dar înainte să mă dau cu capul de pereți aș vrea să întreb dacă > >> cunoașteți > >>> ceva soluții standardizate pentru problema asta. > >>> > >>> Mulțumesc! > >>> > >>> P.S. Momentan studiez asta: > >>> http://www.pointsoftware.ch/en/howto-bash-audit-command-logger/ > >> linuxvm.org/present/SHARE113/S9203sw.pdf > >> > >> > https://www.netiq.com/documentation/change-guardian/changeguardianuserguide/data/b13v6jsf.html > >> > >> pt a scurta prezentarea: subsystemul audit iti permite sa faci logging > >> la mult mai mult decit isi doreste orice om normal sa afle. poti loga > >> inclusiv ce taste au fost apasate ( ceea ce devine "amuzant" cind ai un > >> cetatean care scrie/sterge/sterge/scrie/sterge.. pt ca se memoreaza > >> *absolut toate* apasarile de taste) > >> > >> ps: AFAIK e solutia acceptata de PCI pt compliance. > >> > >> _______________________________________________ > >> RLUG mailing list > >> [email protected] > >> http://lists.lug.ro/mailman/listinfo/rlug > >> > > _______________________________________________ > > RLUG mailing list > > [email protected] > > http://lists.lug.ro/mailman/listinfo/rlug > > > > > -- > ---------------------------------------------- > Adrian Sevcenco, Ph.D. | > Institute of Space Science - ISS, Romania | > adrian.sevcenco at {cern.ch,spacescience.ro} | > ---------------------------------------------- > > > _______________________________________________ > RLUG mailing list > [email protected] > http://lists.lug.ro/mailman/listinfo/rlug > > _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
