Estou escrevendo porque preciso de uma maneira de monitorar o que meus usuários enviam pelo ssh.
Eu tenho um jumphost e tentei o seguinte:
tanto o sistema de autenticação e senha de autenticação tem o correspondente:
session required pam_tty_audit.so enable=*
Sem sucesso, tentei adicionar algumas chamadas de sistema específicas para monitorar o que está sendo enviado, especificamente com execve via auditd
-a always,exit -F arch=b64 -S execve
-a always,exit -F arch=b32 -S execve
-w /bin/sudo -p x
-w /bin/ssh -p x
-w /bin/scp -p x
-w /bin/vi -p x
-a always,exit -F arch=b64 -S open'
Eu dei uma olhada no repositório de código openssh no git e notei isso nas notas de commit:
auth-pam.c Remove do_pam_set_tty which is dead code.
auth-pam.h Remove do_pam_set_tty which is dead code.
Então eu me perguntei se isso era uma funcionalidade depreciada.
De qualquer forma, além de "shell hacks" que podem ser contornados pelos usuários com bastante facilidade ...
Existe algum método viável pelo qual eu possa ver o que está sendo enviado para um host remoto? Parece que a maioria dos tópicos que eu encontrei sobre o tópico parecem se concentrar em registrar quem logou em quê, quando. Eu quero ver o que o usuário enviou para o remoto tty / pts do meu jumphost que está facilitando a conexão ssh.
Obrigado por todas e quaisquer sugestões.
Tags ssh tty pam centos linux-audit