Registro de todos los comandos SSH a través de un proxy

tag-icon tag-icon ssh proxy root
Registro de todos los comandos SSH a través de un proxy

Problema: Tengo un servidor de producción en el que no confío en nadie. Sin embargo, no puedo ser la única persona que pueda acceder a él.

Realización: necesito permitir que las personas inicien sesión como root, pero a través de un proxy para que todo lo que escriban/envíen a través de ssh se registre en una máquina proxy a la que en realidad no tienen acceso (para que no puedan alterar los registros) .

¿Cuál es la configuración ideal para hacer eso? Sólo me he encontrado con tshark (Registro SSH de todos los comandos), pero en realidad no estoy seguro de que sea bueno para el trabajo y no estoy seguro de cómo lo configuro exactamente, ya que la gente dice que registra el tráfico en el nivel de protocolo y el cifrado ssh ocurre en el nivel de la aplicación.

¿Alguien puede proporcionar una solución probada definitiva para esto?

Respuesta1

Hayhttps://goteleport.comque debería hacer exactamente lo que pides. Dicen que está listo para producción, pero estoy jugando con él y me parece una etapa temprana de desarrollo.

Estoy buscando alternativas, así que encontré tu pregunta que sigue siendo relevante. Yo optaría por una solución comercial.

Respuesta2

Puedes probar NHI:https://github.com/strang1ato/nhi

nhicaptura automáticamente toda la información potencialmente útil sobre cada comando ejecutado y todo lo que lo rodea, y ofrece un potente mecanismo de consulta.

nhimantiene registros de:

  • dominio
  • salida del comando
  • estado de salida del comando
  • directorio de trabajo al final de la ejecución del comando
  • hora de inicio del comando
  • tiempo de finalización del comando
  • indicador de shell en el momento de la ejecución del comando

nhiTambién mantiene registros de información sobre la sesión de shell en general.

[...]

nhi daemon se basa en eBPF, una tecnología integrada en el kernel de Linux. El uso de eBPFgarantiza un gran rendimiento y una baja sobrecarga de la herramienta, porque el seguimiento se realiza de forma segura dentro del kernel.

nhino afecta el comportamiento de ningún programa/proceso (ni del sistema operativo en general).

información relacionada