是否应全面记录终端交互以进行事件响应？

Question

我们将使用一个跳转盒作为我们生产系统的SSH桥梁。假设操作符实际上是登录到跳转框上的shell，并假设可以记录整个终端交互，那么在这种情况下记录完整的终端交互是否明智呢？

我认为，将这些互动记录下来，将成为一个很好的工具，用于尸检报告，可能也是为了培训目的。然而，在我所读到的有关计算机事故反应的文档中，我从未见过在事件发生期间有任何关于录制终端的消息。

Answer 1

是的，这绝对是明智之举。在分析事件时，你总是希望得到尽可能多的信息。拥有太多的信息总比没有足够的信息好，因为你不想猜测行动之间的联系。

回顾一次事件，你会想知道谁什么时候做了什么。为了做到这一点，您将需要知道身份验证，以便您知道是谁，您需要输入命令，以便您知道什么，您将需要NTP同步，以便您知道什么时候。

根据系统的不同，当具有特权的用户下降到shell提示符时，可能不会完全捕获某些活动。在这些情况下，您可能想要实现其他控件来防止这种情况，或者添加软件来检测它。

Answer 2

我也推荐它。对于完整的终端交互，我使用pam_tty_audit PAM模块。

把这个放下来：

session     required      pam_tty_audit.so enable=*

在/etc/pam.d/system-auth-ac的末尾(RedHat/Fedora/CentOS)，您将开始获得登录到/var/log/audit/audit.log的所有击键。

它唯一的缺点(可能是严重的)是记录所有tty交互，包括密码。这个问题是应我的要求被处理。