gelöschter Benutzer
Guest
G
Hallo Leute,
gibt ja die Möglichkeit nach der Anmeldung über den OpenSSHd ein Script zu starten (eingetragen in der .ssh/authorized_keys) und bspw. mit log-user-session die Eingaben zu protokollieren.
Jetzt muss ich den zu protokollierenden Benutzern allerdings root zur Verfügung stellen, Sudo mit bestimmten Kommandos reicht leider nicht aus. Gibt es eine Möglichkeit, eine Manipulation durch den User zu verhindern? Er könnte ja theoretisch immer weitere Keys zu .ssh/authorized_keys hinzufügen oder den Logger rauslöschen. Auch die Lögs selbst könnte er manipulieren. Wäre es möglich, einen User mit der UID 0 (also root) anzulegen und ihm dann zu verbieten, seine eigene .ssh/authorized_keys zu manipulieren?
Alternativ wäre ein "Über die Schulter schauen" mit Passworteingabe auch nett. Also dass der Benutzer einen Key bekommt und ich dann bei jedem sudo das Passwort eingeben oder Enter drücken muss. Oder dass ich ihm ein Keyfile schicke und dann per SSH auf seinen Rechner gehe, seine Session anschaue und das Passwort für den Key für meinen Server eingebe.
Findet ihr das überhaupt praktikabel oder sollte ich lieber mal über mein Rechtemanagement nachdenken?
gibt ja die Möglichkeit nach der Anmeldung über den OpenSSHd ein Script zu starten (eingetragen in der .ssh/authorized_keys) und bspw. mit log-user-session die Eingaben zu protokollieren.
Jetzt muss ich den zu protokollierenden Benutzern allerdings root zur Verfügung stellen, Sudo mit bestimmten Kommandos reicht leider nicht aus. Gibt es eine Möglichkeit, eine Manipulation durch den User zu verhindern? Er könnte ja theoretisch immer weitere Keys zu .ssh/authorized_keys hinzufügen oder den Logger rauslöschen. Auch die Lögs selbst könnte er manipulieren. Wäre es möglich, einen User mit der UID 0 (also root) anzulegen und ihm dann zu verbieten, seine eigene .ssh/authorized_keys zu manipulieren?
Alternativ wäre ein "Über die Schulter schauen" mit Passworteingabe auch nett. Also dass der Benutzer einen Key bekommt und ich dann bei jedem sudo das Passwort eingeben oder Enter drücken muss. Oder dass ich ihm ein Keyfile schicke und dann per SSH auf seinen Rechner gehe, seine Session anschaue und das Passwort für den Key für meinen Server eingebe.
Findet ihr das überhaupt praktikabel oder sollte ich lieber mal über mein Rechtemanagement nachdenken?