[FRsAG] Exécuter une commande à la connexion sur un machine servant de proxy SSH

Fred frsag at bagnoz.eu
Mer 7 Sep 14:53:31 CEST 2016


hello,

je pense que pam_tty_audit répondra à ce que tu recherches.

ou encore sudoreplay (si le sudo est "imposable").

ou utiliser la variable PROMPT_COMMAND pour rediriger la dernière entrée 
de l'historique vers *syslog* (si le shell est "imposable").

ou une combinaison de tout ça.

Cordialement,

Fred


Le 2016-09-07 14:27, Alarig Le Lay a écrit :
> Bonjour,
> 
> Je suis dans un cas où l’intégralité de la session SSH à une machine
> doit être loggué. On se connecte en SSH à cette machine en en utilisant
> une autre comme proxy :
> 
> $ cat ~/.ssh/config
> VerifyHostKeyDNS=yes
> 
> Host 10.0.0.19
> 	IdentityFile ~/.ssh/id_rsa2
> 
> Host 10.0.0.13
> 	ProxyCommand ssh bastion-user at 10.0.0.19 -W %h:%p
> 
> (je sais bien que l’on peut facilement le contourner en se connectant
> directement, mais c’est un labo simple pour le moment, ce sera 
> différent en
> prod)
> 
> J’aimerais donc, sur 10.0.0.19 lancer une commande type script qui
> enregistre toutes les commandes tapées et les sorties de ces commandes.
> 
> Dans le cas d’une connexion directe, je pourrais utiliser
> /etc/ssh/sshrc, mais ce fichier n’est pas lu dans le cas d’un simple
> forwarding.
> Le shell de l’utilisateur qui sert de rebond n’est pas utilisé non 
> plus,
> même avec un nologin je peux me connecter à la machine finale.
> 
> Je me pose deux questions (et demie) :
> 	* Quel est l’équivalent de /etc/ssh/sshrc dans le cas de -W ?
> 	* Est-ce que je vais réellement voir ce qui passe ? Le trafic
> 	  est relayé par cette machine, mais la session est initiée par
> 	  une autre machine.
> 	  	* Si je ne peux pas voir le trafic, comment puis-je
> 		  enregistre la session sur la machine finale sans que
> 		  l’utilisateur puisse effacer le fichier qui sera
> 		  écrit ? Faire un shell custom et l’utiliser avec
> 		  ForceCommand est envisageable, mais c’est la question
> 		  des droits UNIX sur le fichier de log qui me pose plus
> 		  problème.
> 
> Merci pour vos réponses,
> _______________________________________________
> Liste de diffusion du FRsAG
> http://www.frsag.org/


Plus d'informations sur la liste de diffusion FRsAG