ユーザーがSSHを介して送信する内容を監視する方法が必要なので、この記事を書いています。
ジャンプホストがあり、次のことを試しました。
system-authとPassword-authの両方に対応するエントリがあります。
session required pam_tty_audit.so enable=*
しかし、成功しなかったので、特にauditdを介してexecveを使用して送信される内容を監視するために特定のシステムコールを追加しようとしました。
-a always,exit -F arch=b64 -S execve
-a always,exit -F arch=b32 -S execve
-w /bin/sudo -p x
-w /bin/ssh -p x
-w /bin/scp -p x
-w /bin/vi -p x
-a always,exit -F arch=b64 -S open`
Gitでopensshコードストアを見て、コミットノートで次のことを見つけました。
auth-pam.c Remove do_pam_set_tty which is dead code.
auth-pam.h Remove do_pam_set_tty which is dead code.
それで、これが節約された機能かどうか疑問に思います。
とにかく、ユーザーがかなり簡単に避けることができる「シェルハッキング」を除いて...
リモートホストに送信される内容を確認する方法はありますか?このトピックについて私が見つけたほとんどのスレッドは、誰がいつ何にログインしたのかを記録することに焦点を当てているようです。 SSH接続を容易にするジャンプホストで、ユーザーがリモートtty / ptsに送信する内容を確認したいと思います。
すべてのアドバイスに感謝します。