Rileva connessioni SSH InBound / Outbound

Naviga le tue risposte
1

Mi viene in mente l'idea di gestire le connessioni SSH sul server Linux usando un programma (non sono sicuro di cosa verrà scritto ancora) che monitora le connessioni in entrata e in uscita. C'è un modo per rilevare una connessione SSH prima che sia completamente stabilita. Sto cercando qualcosa che sia guidato dagli eventi o un altro metodo molto leggero in termini di potenza di elaborazione. Più vicino al rilevamento in tempo reale, meglio è.

Quando dico "monitoraggio" intendo che il programma controllerà se la connessione in entrata / in uscita è autorizzata per quell'utente / processo. Altrimenti lo spegnerà. Perché? Perché ho molti sistemi interni che possono ssh tra loro e non posso usare iptables per bloccare l'accesso tra i sistemi o la lista bianca ssh.

Grazie!

    
posta Rick 07.07.2015 - 14:36
fonte

2 risposte

1

Probabilmente questo può essere fatto con il Snort Intrusion Prevention System , sebbene le regole Snort per SSH siano generalmente usate per cose come rilevamento dell'accesso brute force e alla ricerca di exploit SSH .

Tuttavia, penso che scoprirai che essere troppo draconiano, specialmente nei dipendenti di tipo sysadmin, probabilmente causerà attrito. Imposta una politica aziendale se devi, ma non applicarla in modo rigoroso.

    
risposta data 10.07.2015 - 03:55
fonte
0

Se non ti fidi del tuo dipendente, licenziarlo.

Se ti fidi di lui (in generale), dai un pò di NDA con multe sanzioni da firmare, per motivarlo a pensare due volte a quello che sta facendo. E concentrati sulla protezione dalle minacce esterne.

Il mio punto è che non esiste una protezione reale contro gli addetti ai lavori ben motivati con diritti di amministratore e tempo sufficiente per eseguire lentamente / accuratamente alcune attività canaglia. Quindi, invece di provare a proteggere a livello tecnico, impiega solo le persone giuste e dai loro i documenti giusti da firmare.

    
risposta data 07.07.2015 - 15:37
fonte

Leggi altre domande sui tag

La funzione di decompressione di Perl ha vulnerabilità di formato? C'è qualche modo per rintracciare un telefono Android usando il numero IMEI [chiuso]