문제: 누구도 믿을 수 없는 프로덕션 서버가 있습니다. 그러나 나는 그것에 접근할 수 있는 유일한 사람이 될 수 없습니다.
깨달음: 사람들이 루트로 로그인하도록 허용해야 하지만 SSH를 통해 입력/전송하는 모든 내용이 실제로 액세스할 수 없는 프록시 시스템에 기록되도록 프록시를 통해 로그인해야 합니다(따라서 로그를 변조할 수 없음). .
이를 수행하는 이상적인 설정은 무엇입니까? 나는 단지 tshark(SSH 모든 명령 로깅), 그러나 실제로 그것이 작업에 좋은지 확신할 수 없으며 사람들이 프로토콜 수준에서 트래픽을 기록하고 ssh 암호화가 응용 프로그램 수준에서 발생한다고 말하므로 정확히 어떻게 설정해야 하는지 잘 모르겠습니다.
누구든지 이에 대한 확실한 테스트 솔루션을 제공할 수 있습니까?
답변1
있다https://goteleport.com당신이 요구하는 것을 정확히 수행해야합니다. 생산 준비가 되었다고 하는데, 저는 재치 있게 놀고 있고 초기 개발 단계인 것 같습니다.
대안을 찾고 있어서 여전히 관련성이 있는 귀하의 질문을 찾았습니다. 나는 상업적인 솔루션을 갈 것입니다.
답변2
NHI를 시도해 볼 수도 있습니다:https://github.com/strang1ato/nhi
nhi실행된 각 명령과 주변의 모든 것에 대해 잠재적으로 유용한 모든 정보를 자동으로 캡처하고 강력한 쿼리 메커니즘을 제공합니다.
nhi다음 사항을 기록합니다.
- 명령
- 명령의 출력
- 명령 종료 상태
- 명령 실행이 끝나면 작업 디렉터리
- 명령 시작 시간
- 명령 종료 시간
- 명령 실행 시 쉘 프롬프트
nhi또한 일반적으로 쉘 세션에 대한 정보 기록을 유지합니다.
[...]
nhi 데몬은 Linux 커널에 내장된 기술인 eBPF를 기반으로 합니다. 추적이 커널 내부에서 안전하게 수행되기 때문에 도구를 사용하면
eBPF도구의 뛰어난 성능과 낮은 오버헤드가 보장됩니다.
nhi프로그램/프로세스(및 일반적인 OS)의 동작에는 영향을 미치지 않습니다.