Accesso limitato tramite comandi Box e log [chiuso]

Naviga le tue risposte
4

Voglio risolvere il seguente problema. Per favore condividi le tue idee o direttamente il nome del prodotto che sia in grado di risolverlo.

I nostri amministratori di sistema devono collegare i server dei clienti, ma non voglio condividere informazioni SSH, VPN ecc. con gli amministratori sys. Inoltre ho bisogno di vedere il registro dei comandi eseguiti dagli amministratori di sys.

Per farla breve, il nostro amministratore di sistema si connette alla "scatola", quindi l'amministratore sarà in grado di accedere ai server dei clienti. Distribuisco le credenziali di accesso alla casella, quindi non è necessario condividere queste informazioni sensibili con l'amministratore di sistema. Un'altra cosa, voglio vedere quali comandi eseguiti dall'amministratore di sistema per i server dei clienti.

Il mio piano è come seguire;

  1. Abbiamo una macchina Linux. Applicherò le credenziali dei clienti su di esso.
  2. Gli amministratori di sistema saranno in grado di connettere questa macchina Linux tramite VNC.
  3. Quindi l'amministratore può connettere il cliente con un clic.
  4. Registra l'intera sessione VNC.

Grazie

    
posta Mehmet Ince 09.12.2014 - 10:26
fonte

1 risposta

0

1) Quale sarebbe lo scopo di distribuire le credenziali dei clienti? C'è qualche meccanismo per ridurre questa porzione. Ad esempio, utilizzando le chiavi ssh dove il client può revocare la chiave in seguito. Se è così, hai alleviato questo problema.

2) Connessione VNC dal tuo staff, è locale, remoto. Hai creato regole appropriate per consentire alle fonti attendibili di connettersi mentre ne fai cadere altre?

3) quando si afferma "connettersi ai clienti con un clic". Ho l'impressione che si possa creare un programma indipendente senza dover utilizzare una macchina centrale. Potresti scrivere un semplice script di shell per registrare localmente (sui computer dei tuoi colleghi) e inviarlo per email.

4) vnc2flv

Dalla categoria "just woke up" usando vnc2flv 

# Example script maybe /usr/bin/watchdog.sh
# can be entered in user’s .bashrc or .bash_profile or other

self='whoami'
dir=/tmp/'mktemp -d /tmp/recordingXXXXX'
file='$self'-XXXXX

printf “Recording session for $self on 'date'” > $dir/README 
recordwin.sh -all /tmp/$file

Il più semplice possibile.

  • 1) ottiene l'ID dell'utente
  • 2) crea una directory temporanea
  • 3) specifica un file temporaneo
  • 4) inserisci tali informazioni in un file "README" nella directory temp
  • 5) Inizia la registrazione

Ci sono molti meccanismi per farlo, cioè una linea di base generica. Potresti avere parametri impostati per i tuoi colleghi al momento dell'accesso e quando escono (es. Prima della sessione di chiusura, usando le chiavi ssh, le loro registrazioni sono collocate in un tar e scp'd over, insieme a una email che ti viene inviata sei uscito e la registrazione è completa.)

    
risposta data 09.12.2014 - 14:41
fonte

Leggi altre domande sui tag

FREAK Attack: come disabilitare tutti i cifrari EXPORT in OpenSSL? Gestione dei dati della carta di credito che non vengono addebitati direttamente