我希望得到一些可用的方法的帮助......
我正在构建一个使用 SSH-CA(即通过证书进行身份验证的 SSH)的解决方案。
流程很简单:
1)用户生成密钥对
2)使用 HSM 进行身份验证并获得公钥签名
3)SSH 服务器验证签名和证书并允许访问
(还有一些多余的部分,但基本上就是这样)。
这是我的问题,我可以监控证书请求和 SSH 交互,但是如何监控用户的操作?
由于这是为 devOps 员工准备的,他们需要 root 权限,因此大多数人都会以 root 身份登录到 SSH 会话。
我仍然需要将发出的命令与实际员工姓名或 ID 联系起来。
有什么好主意吗?
我想到使用:
利用这一点
LD_PRELOAD来提供基本的面包屑路径。使用多个证书颁发机构,每个用户一个。
使用 UNIX 团体,雇用团体的群体。
但它们都是令人讨厌的解决方案。