<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Υπάρχει και το Apache Guacamole με SSH, VNC, RDP, το οποίο υποστηρίζει preconfigured hosts για κάθε user account, και δίνει πρόσβαση μόνο σε αυτά, και χωρίς να ξέρει ο χρήστης το password / ssh key. Υποστηρίζει την πλήρη καταγραφή των sessions (την οθόνη του χρήστη) οπότε στο playback φαίνονται ακόμη και τα αποτελέσματα των εντολών, ακόμη και σε ncurses (κυρίως για servers).<div class=""><br class=""></div><div class="">Εναλλακτικά κάποια άλλα είναι τα <a href="https://www.bastillion.io/" class="">https://www.bastillion.io/</a> , <a href="https://github.com/aker-gateway/Aker" class="">https://github.com/aker-gateway/Aker</a> , κτλπ.</div><div class=""><br class=""></div><div class="">Αυτά τώρα είναι μόνο για ssh και καλύπτουν τον χρήστη. Ακόμη και σε περίπτωση root, η οθόνη καταγράφεται πάντα, και on the fly. Τα μηχανήματα φυσικά πρέπει να έχουν και κάποιο local, non-guacamole account, σε περίπτωση προβλήματος, το οποίο όμως χρησιμοποιείται μόνο για πρόσβαση σε περίπτωση unreachability από το guacamole.</div><div class=""><br class=""></div><div class="">Γενικά δεν είναι native ssh (key forwarding, env forwarding, …) οπότε δεν είναι και η καλύτερη δυνατή λύση, αλλά για περιπτώσεις όπου υπάρχουν πιο άπειροι χρήστες και θέλουν να χρησιμοποιήσουν κάτι, με την δυνατότητα από εσάς να παρακολουθείτε τι έγινε σε περίπτωση που κάνουν λάθος, ή υπάρξει πρόβλημα, είναι ο, τι πρέπει. Αυτό μπορεί να περιλαμβάνει tech support (αν έχει σε κάποιο server), junior sysadmins, interns, νέους υπαλλήλους, κτλπ. Bonus καθώς καλύπτει και Windows, με RDP!</div><div class=""><br class=""></div><div class="">Ελπίζω να βοήθησαν τα παραπάνω,</div><div class="">Αντώνης</div><div class=""><br class=""></div><div class="">Υ.Γ.: Και το Guacamole GUI, και το backend που κάνει την actual σύνδεση, είναι scalable, προς αποφυγήν SPOF. Επίσης σε κάθε σύνδεση φαίνονται μόνο οι IPs των backend hosts, οπότε ίσως γίνεται και κάποιο firewalling.. <br class=""><div><br class=""><blockquote type="cite" class=""><div class="">On 27 Mar 2019, at 19:54, Nikos Kokkalis <<a href="mailto:nikos.kokkalis@gmail.com" class="">nikos.kokkalis@gmail.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class=""><div dir="ltr" class=""><div class="">Υπάρχει και το snoopy: <a href="https://github.com/a2o/snoopy" class="">https://github.com/a2o/snoopy</a> </div><br class=""><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Στις Τετ, 27 Μαρ 2019 στις 4:59 μ.μ., ο/η Dimos Alevizos <<a href="mailto:dalevizo@otenet.gr" class="">dalevizo@otenet.gr</a>> έγραψε:<br class=""></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Καλησπερα,<br class="">
<br class="">
μπορει να φταιει οτι εγω δεν καταλαβα το documentation αλλα αυτο που με χαλαγε στο auditd ειναι οτι δεν γραφει ακριβως αυτο που ετρεξε ο χρηστης, γραφει μονο το ονομα του binary.<br class="">
Τελικα καταληξαμε σε μια εναλλακτικη που ομολογουμενως ειναι πιο τρυπια απο αποψη security και πιο δυσκολο να την συντηρησεις αλλα μας εδινε ακριβως αυτο που θελαμε τοτε.<br class="">
Πατσαρισμενο bash που στελνει το history σε syslog :<br class="">
<br class="">
Mar 11 06:26:39 vm-0 bash: HISTORY: PID=28987 user dalevizo as dalevizo(1001) run: sudo -s<br class="">
Mar 11 06:26:45 vm-0 bash: HISTORY: PID=29016 user dalevizo as root(0) run: cd /home/dalevizo/swift/<br class="">
<br class="">
D.<br class="">
<br class="">
On 27/3/19 4:11 μ.μ., Dimitris Kalogeras wrote:<br class="">
> Καλησπέρα Αντρέα,<br class="">
><br class="">
> Στις 2019-03-27 11:55, Polyrakis Andreas έγραψε:<br class="">
>> Καλησπέρα,<br class="">
>><br class="">
>> Ψάχνω να βρω ενα καλό τρόπο καταγραφής<br class="">
>> των ενεργειών που έχουν γίνει σε<br class="">
>> κάποιο σύστημα (linux ή δικτυακή συσκευή)<br class="">
>> από τους χρήστες. Δηλαδή με ενδιαφέρει<br class="">
>> να ξέρω ΠΟΙΟΣ έτρεξε ΤΙ, και ΠΌΤΕ.<br class="">
><br class="">
> Για το ποιός έχει να κάνει με το authentication και νομίζω<br class="">
> οτι το Radius/tacacs/sshd/pam είναι επαρκή για να έχεις (sys)logging του authentication.<br class="">
><br class="">
> ΤΟ τί έτρεξε είναι ποιο περίπλοκο και σίγουρα το tacacs είναι επαρκες (από το τελευταίο Α του AAA) το radius λιγότερο..<br class="">
> (δεν έχει accounting για το exec). Σε περιβάλλον  φλοιού είναι πιο περίπολο και μάλλον θέλεις να το κάνεις καλύτερα<br class="">
> σε επίπεδο kernel (execv/spawn) με το audit subsystem στο linux π.χ<br class="">
><br class="">
> auditctl -a exit,always -F arch=b64 -F euid=0 -S execve -k root-commands Και ausearch -k root-commands.<br class="">
><br class="">
> Χαιρετισμούς,<br class="">
> Δημήτρης<br class="">
><br class="">
> (σε αυτά τα πλαίσια το <a href="https://fabianlee.org/2018/12/02/ubuntu-auditing-sudo-commands-and-forwarding-audit-logs-using-syslog" rel="noreferrer" target="_blank" class="">https://fabianlee.org/2018/12/02/ubuntu-auditing-sudo-commands-and-forwarding-audit-logs-using-syslog</a><br class="">
> για αποθήκευση σε remote syslog)<br class="">
><br class="">
>><br class="">
>> Αντιλαμβάνομαι πως οι δύο κόσμοι<br class="">
>> είναι διαφορετικοί οπότε μου κάνουν<br class="">
>> και απαντήσεις που αφορούν την μια από<br class="">
>> τις δύο περιπτώσεις.<br class="">
>><br class="">
>> Με ενδιαφέρουν όλοι οι δυνατοί τρόποι<br class="">
>> (πχ καταγραφή στην μεριά του<br class="">
>> διαχειριστή, στην μεριά του server, από<br class="">
>> ενδιάμεσο κουτί που θα<br class="">
>> χρησιμοποιείται), αρκεί ο τρόπος να<br class="">
>> είναι εύχρηστος και όσο το δυνατό<br class="">
>> περισσότερο γενικός - και όχι το<br class="">
>> .bash_history δεν μου αρκεί. Ο κύριος σκοπός<br class="">
>> δεν είναι η παρακολούθηση κάποιου που<br class="">
>> κακόβουλα θα θέλει να κρύψει τα ίχνη<br class="">
>> του (δηλαδή μπορώ να δεχτω ότι ο root θα<br class="">
>> μπορεί να σβήσει τα ίχνη του, ή ότι σε<br class="">
>> ορισμένες περιπτώσεις,, πχ πρόσβαση<br class="">
>> μέσω console κλπ η κατγραφή δεν θα<br class="">
>> δουλεύει).<br class="">
>><br class="">
>> Ιδανικά θα ήθελα κάτι που να μην<br class="">
>> παρακολουθεί μόνο το ssh αλλά και<br class="">
>> άλλους τρόπους αλληλεπίδρασης με ένα<br class="">
>> σύστημα (πχ netconf, APIs, ...)<br class="">
>><br class="">
> Αυτό δεν θα μπορούσε να γίνει επειδή το παραπάνω API δεν χειρίζεται το authentication kai<br class="">
> accounting<br class="">
><br class="">
><br class="">
>> Ιδέες και εμπειρίες ευπρόσδεκτες.<br class="">
>><br class="">
>> Ευχαριστώ προκαταβολικά,<br class="">
>><br class="">
>> Ανδρέας<br class="">
><br class="">
<br class="">
<br class="">
</blockquote></div><br clear="all" class=""><div class=""><br class=""></div>-- <br class=""><div dir="ltr" class="gmail_signature">Nikos Kokkalis</div></div></div>
</div></blockquote></div><br class=""></div></body></html>