사용자가 SSH를 통해 보내는 내용을 모니터링할 방법이 필요하기 때문에 이 글을 쓰고 있습니다.
점프 호스트가 있고 다음을 시도했습니다.
system-auth와 Password-auth에는 모두 해당하는 항목이 있습니다.
session required pam_tty_audit.so enable=*
그러나 성공하지 못했기 때문에 특히 auditd를 통해 execve를 사용하여 전송되는 내용을 모니터링하기 위해 특정 시스템 호출을 추가하려고 했습니다.
-a always,exit -F arch=b64 -S execve
-a always,exit -F arch=b32 -S execve
-w /bin/sudo -p x
-w /bin/ssh -p x
-w /bin/scp -p x
-w /bin/vi -p x
-a always,exit -F arch=b64 -S open`
Git에서 openssh 코드 저장소를 살펴보고 커밋 노트에서 다음을 발견했습니다.
auth-pam.c Remove do_pam_set_tty which is dead code.
auth-pam.h Remove do_pam_set_tty which is dead code.
그래서 이것이 평가절하된 기능인지 궁금합니다.
어쨌든 사용자가 상당히 쉽게 피할 수 있는 "쉘 해킹"을 제외하면...
원격 호스트로 전송되는 내용을 확인할 수 있는 방법이 있습니까? 이 주제에 대해 내가 찾은 대부분의 스레드는 누가 언제 무엇에 로그인했는지 기록하는 데 중점을 두고 있는 것 같습니다. SSH 연결을 용이하게 하는 점프 호스트에서 사용자가 원격 tty/pts로 보내는 내용을 확인하고 싶습니다.
모든 조언에 감사드립니다.