On 11/07/2014 03:06 PM, Adrian Popa wrote: > Problema e că nu e un singur target. Userul tb să-și poată alege targetul, > metoda de conectare, sau doar să dea un ping. > > Soluțiile pe care le caut nu tb să fie PCI compliant, ci doar să fie mai > elegante decât niște dirty hacks atunci ceva combinat cu usermin? tot in scopul de a elimina terminalul pe jump host...
> > 2014-11-07 14:48 GMT+02:00 Adrian Sevcenco <adrian.sevce...@cern.ch>: > >> On 11/07/2014 02:35 PM, Adrian Popa wrote: >>> Mulțumesc pentru sugestie - o să studiez. Recunosc că la prima vedere >>> logurile sunt prea stufoase... >>> >>> Mai aștept recomandări - logging-ul de telnet/ssh are ca scop și oferirea >>> utilizatorului posibilitatea să își auditeze singur ce a executat pe >> acolo >>> și ar trebui să fie într-un format cât mai apropriat de sesiunea >>> interactivă. >> Daca doresti numai functionalitatea de ssh jump host poti sa faci >> disable la terminal (/sbin/nologin) si doar setezi pentru fiecare user >> in parte configul de jump host (passwordless auth de la jumphost la >> target) .. scapi de auditarea pe jump host.. >> >> Adrian >> >> >>> >>> Numai bine >>> >>> 2014-11-07 11:44 GMT+02:00 manuel "lonely wolf" wolfshant < >> wo...@prolinux.ro >>>> : >>> >>>> On 11/07/2014 11:36 AM, Adrian Popa wrote: >>>>> Salut, >>>>> >>>>> Aș vrea să aflu și eu dacă cunoașteți soluții "oficiale" care să >> permită >>>>> logging-ul comenzilor și al outputurilor (bonus points dacă asta e >>>>> opțională) care sunt executate de diverși useri pe un sistem linux >>>> folosind >>>>> bash interactiv. >>>>> >>>>> Planul e să pregătesc un server pe post de jump server în care userii >> să >>>>> intre cu ssh și să poată executa comenzi bash de bază (gen cat, grep, >> cd, >>>>> ls, etc) și să poată face telnet/ssh pe alte sisteme. >>>>> >>>>> S-a pus problema auditării tuturor comenzilor și outputurilor >> existente. >>>>> >>>>> Metoda brute force ar fi cu editarea surselor bash, telnet, ssh și >>>>> recompilare, sau folosirea unor wrappere care să facă tee într-un >> fișier, >>>>> dar înainte să mă dau cu capul de pereți aș vrea să întreb dacă >>>> cunoașteți >>>>> ceva soluții standardizate pentru problema asta. >>>>> >>>>> Mulțumesc! >>>>> >>>>> P.S. Momentan studiez asta: >>>>> http://www.pointsoftware.ch/en/howto-bash-audit-command-logger/ >>>> linuxvm.org/present/SHARE113/S9203sw.pdf >>>> >>>> >> https://www.netiq.com/documentation/change-guardian/changeguardianuserguide/data/b13v6jsf.html >>>> >>>> pt a scurta prezentarea: subsystemul audit iti permite sa faci logging >>>> la mult mai mult decit isi doreste orice om normal sa afle. poti loga >>>> inclusiv ce taste au fost apasate ( ceea ce devine "amuzant" cind ai un >>>> cetatean care scrie/sterge/sterge/scrie/sterge.. pt ca se memoreaza >>>> *absolut toate* apasarile de taste) >>>> >>>> ps: AFAIK e solutia acceptata de PCI pt compliance.
_______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug