înregistrare Logare
Puncte:0
NOC_Ninja982134 avatar Server

Înregistrarea tuturor comenzilor SSH dintr-un Jumpbox linux

drapel ru
NOC_Ninja982134

Am sarcina de a veni cu o soluție pentru NOC-ul nostru pentru a implementa accesul securizat MFA pe routerele noastre. Există avertismente pentru a face acest lucru, deoarece TACACS\RADIUS este acceptat doar pe interfața MGMT, printre alte limitări (nu vreau să risc să nu fiu blocat de un router dacă TACACS\RADIUS este slăbit)

Acestea fiind spuse, cred că o abordare mai bună ar fi un jumpbox care înregistrează toate comenzile. Utilizatorii ar SSH la jumpbox și se autentifica cu acreditările lor AD prin RADIUS sau altceva care acceptă MFA.

Avertismentul aici este:

  • Când trimiteți SSH la routerul în cauză, toate comenzile/răspunsurile ar trebui cumva să fie înregistrate și expediate undeva, prin contabilitate RADIUS sau altfel. Ar fi jumpbox-ul care le trimite, poate că există o versiune „specială” de SSH care face acest lucru.
  • Acestea ar trebui să fie logate sub utilizatorul care a executat comenzile.
60
0 + 8
Michael Hampton avatar
drapel cz
Michael Hampton
Mai întâi vorbești despre MFA, apoi te-ai dus direct în câmpul din stânga și ai întrebat despre înregistrarea tuturor comenzilor? Acestea nu par să aibă nicio legătură între ele. Ce încerci de fapt să realizezi?
0
Răspunde
NOC_Ninja982134 avatar
drapel ru
NOC_Ninja982134
O soluție RADIUS va oferi cârlige în MFA prin intermediul piesei de autentificare, precum și înregistrarea tuturor comenzilor prin piesa de contabilitate.
0
Răspunde
Michael Hampton avatar
drapel cz
Michael Hampton
Singura comandă pe care o veți înregistra în mod normal este, totuși, unde a sărit administratorul. Există modalități de a înregistra întreaga sesiune de terminal, dar aceasta este de obicei prea zgomotoasă, ocupă cantități masive de disc și este puțin probabil să fie ceea ce aveți nevoie cu adevărat. Așa că încercarea de a împinge toate acestea prin contabilitatea RADIUS sună nebunesc.
0
Răspunde
NOC_Ninja982134 avatar
drapel ru
NOC_Ninja982134
Un jumpbox în care mă pot autentifica în el folosind AD\MFA, care trimite, de asemenea, toate comenzile undeva, inclusiv atunci când îl folosesc în SSH undeva va fi suficient (înregistrarea sesiunii de terminal).
0
Răspunde
Michael Hampton avatar
drapel cz
Michael Hampton
Dacă trebuie doar să înregistrați comenzi, [e ușor](https://serverfault.com/a/1036183/126632). Puteți să le înregistrați și să le expediați la o mașină de la distanță prin orice metodă doriți.
0
Răspunde
NOC_Ninja982134 avatar
drapel ru
NOC_Ninja982134
Dar se va înregistra, de asemenea, când el SSH-uri undeva și rezultatul acestuia. John se conectează în jumbox, tasta ls (acesta este înregistrat), john ssh în router (comanda ssh este înregistrată), john tasta „System reboot” (aceasta comandă este, de asemenea, înregistrată)
0
Răspunde
Michael Hampton avatar
drapel cz
Michael Hampton
Din punct de vedere semantic, aceasta este ieșirea terminalului. Acest lucru devine mult mai complicat și, așa cum s-a menționat în întrebarea legată, nu știu o soluție bună pentru asta, cu excepția `pam_tty_audit`, care face exact ceea ce a fost afișat acolo. Dacă te descurci cu asta, atunci mergi.
1
Răspunde
NOC_Ninja982134 avatar
drapel ru
NOC_Ninja982134
Multumesc domnule. O voi lua de aici.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.