Re: Alle Prozesse loggen, die per SSH aufgerufen wurden

2019-08-26 Diskussionsfäden Andreas Stieger 
Hi,

> Was ich sehen will:
> 
>   - Interaktive Anmeldungen

Linux Audit Framework, incl. PAM-Modul pam_tty_audit

>   - Befehle, die zB so aufgerufen werden "ssh remote-server my-command"

aureport --tty

>   - scp-Befehle. Mit Pfad wäre schön. Ggf reicht auch, die Info, dass scp 
> aufgerufen wurde.

Ebenso.

> Ich sehe zwei Wege:
> 
>   - ForceCommand 
> http://man.openbsd.org/OpenBSD-current/man5/sshd_config.5#ForceCommand
> 
>   - oder auditd.

Letzteres ist zu empfehlen für den Usecase mehrerer Server. Das kannst du dann 
zentral auf einem besonders gesichertem Host und bei Bedarf auch live sammeln.

Gruß,
Andreas

Re: Alle Prozesse loggen, die per SSH aufgerufen wurden

2019-08-26 Diskussionsfäden Heiko Schlittermann 
Thomas Güttler  (Mo 26 Aug 2019 13:10:27 CEST):
>  - Interaktive Anmeldungen
>  - Befehle, die zB so aufgerufen werden "ssh remote-server my-command"
>  - scp-Befehle. Mit Pfad wäre schön. Ggf reicht auch, die Info, dass scp 
> aufgerufen wurde.

> Seht ihr andere Wege das zu lösen?

Ich hätte jetzt einfach das Logging im SSH-Server auf einen sinnvollen
Wert gesetzt und erwartet, daß ich dann auch die aufgerufenen Kommandos
sehe, incl. der Identitäten bzw. Keys, die das ausgelöst haben.

--
Heiko


signature.asc
Description: PGP signature

Alle Prozesse loggen, die per SSH aufgerufen wurden

2019-08-26 Diskussionsfäden Thomas Güttler 

Hallo,

wir haben hier eine ganze Menge Server und sind dabei von ssh/scp zu http zu 
wechseln.

Ich gebe es zu: Keiner hat den Masterplan (komplette Übersicht) darüber wie und 
wo
Daten ausgetauscht werden.

Ich würde nun gerne wissen wo noch ssh/scp verwendet anstatt die neue 
http-Schnittstelle zu nutzen.

Was ich sehen will:

 - Interaktive Anmeldungen
 - Befehle, die zB so aufgerufen werden "ssh remote-server my-command"
 - scp-Befehle. Mit Pfad wäre schön. Ggf reicht auch, die Info, dass scp 
aufgerufen wurde.

Ich sehe zwei Wege:

 - ForceCommand 
http://man.openbsd.org/OpenBSD-current/man5/sshd_config.5#ForceCommand

 - oder auditd.


Seht ihr andere Wege das zu lösen?

Gruß,
  Thomas


--
Thomas Guettler http://www.thomas-guettler.de/
I am looking for feedback: https://github.com/guettli/programming-guidelines