[grnog] Συστήματα καταγραφής εντολών cli (και όχι μόνο)

Antonis Chariton a.chariton at enartia.com
Mon Apr 1 08:40:12 CEST 2019 

Υπάρχει και το Apache Guacamole με SSH, VNC, RDP, το οποίο υποστηρίζει preconfigured hosts για κάθε user account, και δίνει πρόσβαση μόνο σε αυτά, και χωρίς να ξέρει ο χρήστης το password / ssh key. Υποστηρίζει την πλήρη καταγραφή των sessions (την οθόνη του χρήστη) οπότε στο playback φαίνονται ακόμη και τα αποτελέσματα των εντολών, ακόμη και σε ncurses (κυρίως για servers).

Εναλλακτικά κάποια άλλα είναι τα https://www.bastillion.io/ <https://www.bastillion.io/> , https://github.com/aker-gateway/Aker <https://github.com/aker-gateway/Aker> , κτλπ.

Αυτά τώρα είναι μόνο για ssh και καλύπτουν τον χρήστη. Ακόμη και σε περίπτωση root, η οθόνη καταγράφεται πάντα, και on the fly. Τα μηχανήματα φυσικά πρέπει να έχουν και κάποιο local, non-guacamole account, σε περίπτωση προβλήματος, το οποίο όμως χρησιμοποιείται μόνο για πρόσβαση σε περίπτωση unreachability από το guacamole.

Γενικά δεν είναι native ssh (key forwarding, env forwarding, …) οπότε δεν είναι και η καλύτερη δυνατή λύση, αλλά για περιπτώσεις όπου υπάρχουν πιο άπειροι χρήστες και θέλουν να χρησιμοποιήσουν κάτι, με την δυνατότητα από εσάς να παρακολουθείτε τι έγινε σε περίπτωση που κάνουν λάθος, ή υπάρξει πρόβλημα, είναι ο, τι πρέπει. Αυτό μπορεί να περιλαμβάνει tech support (αν έχει σε κάποιο server), junior sysadmins, interns, νέους υπαλλήλους, κτλπ. Bonus καθώς καλύπτει και Windows, με RDP!

Ελπίζω να βοήθησαν τα παραπάνω,
Αντώνης

Υ.Γ.: Και το Guacamole GUI, και το backend που κάνει την actual σύνδεση, είναι scalable, προς αποφυγήν SPOF. Επίσης σε κάθε σύνδεση φαίνονται μόνο οι IPs των backend hosts, οπότε ίσως γίνεται και κάποιο firewalling.. 

> On 27 Mar 2019, at 19:54, Nikos Kokkalis <nikos.kokkalis at gmail.com <mailto:nikos.kokkalis at gmail.com>> wrote:
> 
> Υπάρχει και το snoopy: https://github.com/a2o/snoopy <https://github.com/a2o/snoopy> 
> 
> Στις Τετ, 27 Μαρ 2019 στις 4:59 μ.μ., ο/η Dimos Alevizos <dalevizo at otenet.gr <mailto:dalevizo at otenet.gr>> έγραψε:
> Καλησπερα,
> 
> μπορει να φταιει οτι εγω δεν καταλαβα το documentation αλλα αυτο που με χαλαγε στο auditd ειναι οτι δεν γραφει ακριβως αυτο που ετρεξε ο χρηστης, γραφει μονο το ονομα του binary.
> Τελικα καταληξαμε σε μια εναλλακτικη που ομολογουμενως ειναι πιο τρυπια απο αποψη security και πιο δυσκολο να την συντηρησεις αλλα μας εδινε ακριβως αυτο που θελαμε τοτε.
> Πατσαρισμενο bash που στελνει το history σε syslog :
> 
> Mar 11 06:26:39 vm-0 bash: HISTORY: PID=28987 user dalevizo as dalevizo(1001) run: sudo -s
> Mar 11 06:26:45 vm-0 bash: HISTORY: PID=29016 user dalevizo as root(0) run: cd /home/dalevizo/swift/
> 
> D.
> 
> On 27/3/19 4:11 μ.μ., Dimitris Kalogeras wrote:
> > Καλησπέρα Αντρέα,
> >
> > Στις 2019-03-27 11:55, Polyrakis Andreas έγραψε:
> >> Καλησπέρα,
> >>
> >> Ψάχνω να βρω ενα καλό τρόπο καταγραφής
> >> των ενεργειών που έχουν γίνει σε
> >> κάποιο σύστημα (linux ή δικτυακή συσκευή)
> >> από τους χρήστες. Δηλαδή με ενδιαφέρει
> >> να ξέρω ΠΟΙΟΣ έτρεξε ΤΙ, και ΠΌΤΕ.
> >
> > Για το ποιός έχει να κάνει με το authentication και νομίζω
> > οτι το Radius/tacacs/sshd/pam είναι επαρκή για να έχεις (sys)logging του authentication.
> >
> > ΤΟ τί έτρεξε είναι ποιο περίπλοκο και σίγουρα το tacacs είναι επαρκες (από το τελευταίο Α του AAA) το radius λιγότερο..
> > (δεν έχει accounting για το exec). Σε περιβάλλον  φλοιού είναι πιο περίπολο και μάλλον θέλεις να το κάνεις καλύτερα
> > σε επίπεδο kernel (execv/spawn) με το audit subsystem στο linux π.χ
> >
> > auditctl -a exit,always -F arch=b64 -F euid=0 -S execve -k root-commands Και ausearch -k root-commands.
> >
> > Χαιρετισμούς,
> > Δημήτρης
> >
> > (σε αυτά τα πλαίσια το https://fabianlee.org/2018/12/02/ubuntu-auditing-sudo-commands-and-forwarding-audit-logs-using-syslog <https://fabianlee.org/2018/12/02/ubuntu-auditing-sudo-commands-and-forwarding-audit-logs-using-syslog>
> > για αποθήκευση σε remote syslog)
> >
> >>
> >> Αντιλαμβάνομαι πως οι δύο κόσμοι
> >> είναι διαφορετικοί οπότε μου κάνουν
> >> και απαντήσεις που αφορούν την μια από
> >> τις δύο περιπτώσεις.
> >>
> >> Με ενδιαφέρουν όλοι οι δυνατοί τρόποι
> >> (πχ καταγραφή στην μεριά του
> >> διαχειριστή, στην μεριά του server, από
> >> ενδιάμεσο κουτί που θα
> >> χρησιμοποιείται), αρκεί ο τρόπος να
> >> είναι εύχρηστος και όσο το δυνατό
> >> περισσότερο γενικός - και όχι το
> >> .bash_history δεν μου αρκεί. Ο κύριος σκοπός
> >> δεν είναι η παρακολούθηση κάποιου που
> >> κακόβουλα θα θέλει να κρύψει τα ίχνη
> >> του (δηλαδή μπορώ να δεχτω ότι ο root θα
> >> μπορεί να σβήσει τα ίχνη του, ή ότι σε
> >> ορισμένες περιπτώσεις,, πχ πρόσβαση
> >> μέσω console κλπ η κατγραφή δεν θα
> >> δουλεύει).
> >>
> >> Ιδανικά θα ήθελα κάτι που να μην
> >> παρακολουθεί μόνο το ssh αλλά και
> >> άλλους τρόπους αλληλεπίδρασης με ένα
> >> σύστημα (πχ netconf, APIs, ...)
> >>
> > Αυτό δεν θα μπορούσε να γίνει επειδή το παραπάνω API δεν χειρίζεται το authentication kai
> > accounting
> >
> >
> >> Ιδέες και εμπειρίες ευπρόσδεκτες.
> >>
> >> Ευχαριστώ προκαταβολικά,
> >>
> >> Ανδρέας
> >
> 
> 
> 
> 
> -- 
> Nikos Kokkalis

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20190401/7a6f63a0/attachment.html>

More information about the grnog-members mailing list