LINUX.ORG.RU
ФорумAdmin

Как дублировать все набранные в SSH терминале комманды на почту?

 , ,


0

2

Параноидальный мониторинг активности по SSH.

Юзкейс: пользователь заходит на сервер по SSH и набирает команды. Все команды отправляются на мой email для аудита. Вариант списка комманд с таймстемпом по прошествии периода активности тоже пойдет.

Как сделать? Куда копать?

Почитал интернет, ничего особо не нашел. Можно настроить, чтобы сервер слал уведомления на почту, когда пользователь заходит на сервер по SSH. Мне этого мало.

Есть аудит и history. Но их можно затереть. Это не совсем подходит.

Могу гнать, но кажется даже здесь пролетала тема в части ssh + keylogger.

anc ★★★★★ ()

Есть аудит и history. Но их можно затереть. Это не совсем подходит.

Если у пользователя есть доступ к системе (не только к файлам пользователя), то тебя ничего не спасёт — это уже не твоя система.

mord0d ★★★★★ ()

Пользователи заходят под рутом? Если нет, то что они могут сделать системе? Ничего, только удалить содержимое своего homedir.

Хочешь отсекать их жалобы, запускай им script при входе, потом посмотришь что они делали.

futurama ★★★★★ ()

Можно прописать shell пользователя на друго й. На кейлогер или обертку.

anonymous ()

Логирование на удалённый сервер спасёт отца русской демократии

zolden ★★★★★ ()

Как-то все решения выглядят наколеночно. :)

dopedopedope ()

Предлагаю отправлять команды на емейл ДО их выполнения.

Потом проверяющий отправляет по Почте России справку о том, что команда проверена и разрешена.

Это поможет. Отправлять команду ПОСЛЕ - бессмысленно.

Alve ★★★★★ ()

auditd+syslog или любая другая система отправки логов.

Deleted ()
Ответ на: комментарий от Alve

Но правильней тогда уж админить через гит. Ансиблом там, скриптами или как угодней.

Deleted ()

Небольшая правка конфига sssd и можно использовать https://scribery.github.io/tlog/

записывает всю сессию, пишет в journald, посмотреть потом можно и в терминале и для любителей в веб морде cockpit.

Наверняка из journald можно все это кидать в какой-нибудь logstash и отправлять на почту

user_undefined ()

Бери ttysnoop и патчи его шоб он слал вывод на e-mail

Pinkbyte ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.