Le 13/04/21 à 10:40, Remi Desgrange <remi.desgra...@camptocamp.com> a écrit : > Ce que je ferai, c'est, connexion sur un bastion avec 2FA, lancement d'un > tmux dans le shell (sur le bastion donc). Tu à ainsi l'enregistrement de ce > que tu fais (compliance toussa) + retour de la session si le SSH coupe.
Sauf que je suppose qu'il doit logguer ce qui se passe sur la destination, le tmux du bastion peut faire ça ? Dsl si c'est une question idiote, je connais pas PCI DSS et je sais pas du tout s'il faut logguer uniquement l'accès (quel individu accède à une connexion user@host) ou s'il faut ensuite aussi logguer tout ce qui est fait dans la session ssh (et j'avoue ne pas bien comprendre comment on peut empêcher un admin avec des droits root de masquer ses traces, peut-être que de logguer le fait qu'il les masque suffit, mais ça suppose un log distant vers un host sur lequel il n'a pas de droits). -- Daniel Dieu lui même ne pourrait pas couler ce bateau. Le capitaine du Titanic (1912) --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
