我正在尝试建立一个堡垒,我希望记录所有执行的命令并输出到(理想情况下是每个用户的)日志文件。
我查看了 auditd,可以看到如何记录执行到系统的命令。我没有捕获从堡垒出站的 ssh 连接在辅助系统上执行的命令。
例如。
Desktop# ssh bastion.corp
Bastion# ssh switch1.corp
sw1# show run
<stuff>
通过 auditd 我只是被告知 ssh switch1.corp 已执行,而不是远程系统上的 show run 命令。
答案1
在 Linux 中尝试 rootsh 包。只需设置一个服务器作为您的 ssh 服务器,并要求您的用户首先向该服务器进行身份验证,以便连接其他设备。您可以使用访问列表或任何其他过滤机制来限制您的系统或设备只能从您的 ssh 服务器登录。这个包以文本形式记录用户输入的所有命令和返回到屏幕的所有结果。