Регистрация Войти
Рейтинг:0
NOC_Ninja982134 avatar Server

Регистрация всех SSH-команд из Linux Jumpbox

флаг ru
NOC_Ninja982134

Мне поручено придумать решение для нашего NOC, чтобы внедрить MFA\защищенный доступ на наших маршрутизаторах. Для этого есть предостережения, поскольку TACACS\RADIUS поддерживается только на интерфейсе MGMT среди других ограничений (я не хочу рисковать быть заблокированным от маршрутизатора, если TACACS\RADIUS работает нестабильно)

С учетом сказанного, я думаю, что лучшим подходом был бы Jumpbox, который регистрирует все команды. Пользователи подключались к переходнику по SSH и аутентифицировались с помощью своих учетных данных AD через RADIUS или что-то еще, поддерживающее MFA.

Предостережение здесь:

  • Когда вы подключаетесь по SSH к рассматриваемому маршрутизатору, все команды\ответы должны каким-то образом регистрироваться и куда-то отправляться через учет RADIUS или иным образом. Это будет отправка через Jumpbox, возможно, есть «специальная» версия SSH, которая делает это.
  • Они должны быть зарегистрированы под пользователем, который запускал команды.
60
0 + 8
Michael Hampton avatar
флаг cz
Michael Hampton
Сначала вы говорите о MFA, а затем переходите прямо к левому полю и спрашиваете о протоколировании всех команд? Кажется, что они не имеют никакого отношения друг к другу. Чего вы на самом деле пытаетесь достичь?
0
Ответить
NOC_Ninja982134 avatar
флаг ru
NOC_Ninja982134
Решение RADIUS обеспечит подключение к MFA через часть аутентификации, а также регистрацию всех команд через часть учета.
0
Ответить
Michael Hampton avatar
флаг cz
Michael Hampton
Единственная команда, которую вы обычно регистрируете, это то, на что спрыгнул администратор. Есть способы протоколировать всю терминальную сессию, но обычно это слишком шумно, занимает много места на диске и вряд ли вам действительно нужно. Так что попытка протолкнуть все это через учет RADIUS звучит безумно.
0
Ответить
NOC_Ninja982134 avatar
флаг ru
NOC_Ninja982134
Jumpbox, где я могу аутентифицироваться в нем с помощью AD\MFA, который также куда-то отправляет все команды, в том числе когда я использую его для SSH где-то, будет достаточно (регистрация сеанса терминала).
0
Ответить
Michael Hampton avatar
флаг cz
Michael Hampton
Если вам просто нужно записывать команды, [это просто](https://serverfault.com/a/1036183/126632). Вы можете зарегистрировать их и отправить на удаленную машину любым удобным для вас способом.
0
Ответить
NOC_Ninja982134 avatar
флаг ru
NOC_Ninja982134
Но будет ли он также регистрировать, когда он где-то подключается по SSH, и вывод этого. Джон входит в jumbox, набирает ls (это записывается), john ssh в router (записывается команда ssh), john вводит «Перезагрузка системы» (эта команда ТАКЖЕ записывается)
0
Ответить
Michael Hampton avatar
флаг cz
Michael Hampton
Семантически это вывод терминала. Это становится намного сложнее, и, как отмечено в связанном вопросе, я не знаю хорошего решения для этого, кроме `pam_tty_audit`, который делает именно то, что там было показано. Если вы можете с этим справиться, то дерзайте.
1
Ответить
NOC_Ninja982134 avatar
флаг ru
NOC_Ninja982134
Спасибо, сэр. Я возьму это отсюда.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.