auditing – Gea-Suan Lin's BLOG

Tailscale SSH 可以啟動側錄功能

Tailscale 宣布 Tailscale SSH 可以側錄：「Announcing session recording for Tailscale SSH in beta」，這主要是對於 compliance 需求會有幫助，以前有類似需求的話會透過 jump server 類的方式來側錄...

這次提供的是 asciinema 格式，很容易可以 replay：

When a member of your tailnet initiates a connection over Tailscale SSH, our client on the server records all of the terminal output in asciinema format, and streams it to a dedicated recorder node on your tailnet.

開放給所有使用者，包括免費版本：

Session recording for Tailscale SSH is available in beta on our Free and Enterprise plans.

舊的 SSH session logging 則是宣布在八月會停掉：

This feature replaces a legacy version of local SSH session logging that saves recordings directly to the SSH server’s filesystem. We are deprecating that feature, and anyone using it should migrate to the new SSH session recording feature. The legacy functionality will remain active until at least August 1, 2023.

在 Hacker News 的討論「Session recording for Tailscale SSH in beta (tailscale.com)」裡面有一些有趣的東西，像是 sudo 也有提供類似的功能：「Sudoreplay」。

之前有遇過一些商用方案，有提供類似的功能，像是 CyberArk 的「Configure recordings and audits (PSM for SSH)」。

另外 2016 年時 AWS 的人也有寫過「How to Record SSH Sessions Established Through a Bastion Host」。

算是稽核上常見的需求，先前就有不少方法了，Tailscale 提供的工具等於是簡化了一些步驟。

Cloudflare 預定推出 SSH command logging 功能

Cloudflare 預定要推出 SSH command logging 功能：「Introducing SSH command logging」。

看起來是 Cloudflare Zero Trust 產品線：

We’re excited to announce SSH command logging as part of Cloudflare Zero Trust.

翻了 Zero Trust 的 Pricing 資訊，Free Plan 看起來是 50 users 以下不用錢，但不確定這個功能會被放到 Core Features 內還是會被放到另外要收費的部份。

早在 AWS 在 2016 年的時候有用 script 整合了一個方案出來，裡面提到的方法不限於 AWS 上才能用：「How to Record SSH Sessions Established Through a Bastion Host」。

翻了一下 open source 專案，看起來有一些 open source 方案可以用：

Teleport，有商用支援與 open source 版本。
Cloud posse 的 bastion (看起來有點怪怪的)。
Netflix 的 BLESS (標 Archived，另外好像沒有 recording 的能力)。
iamacarpet/ssh-bastion (有好幾年沒新的 commit 活動了)。

另外這個需求在資安要求比較高的行業算是很常見，非 open source 的方案就有不少，先隨便抓兩個：

Cyberark 的 PSM for SSH：「CyberArk Launches New Solution for Securing and Auditing Privileged Accounts on UNIX-based Systems」
Admod 的 ezeelogin (不是 open source)。

AWS 推出可以直接操作機器的 Shell Access

AWS 推出了 Shell Access，讓你可以直接操作 EC2 上的機器，而且又符合稽核上的要求：「New – AWS Systems Manager Session Manager for Shell Access to EC2 Instances」。

看起來機器上只要有 ssm-agent 就可以做這件事情了。在官方的圖可以看到用法：

另外 AWS 也在開發新的功能，一個是繞過 security group 的 SSH client：

SSH Client – You will be able to create SSH sessions atop Session Manager without opening up any inbound ports.

另外一個是給外部機器用的版本：

On-Premises Access – We plan to give you the ability to access your on-premises instances (which must be running the SSM Agent) via Session Manager.

這功能最主要還是稽核面的需求... 以前要作到這件事情會需要透過跳板之類的東西記錄使用者行為，現在 AWS 做出來後就省下這件事情。

CloudFlare 也要提供 Certificate Transparency 的 Log 伺服器了...

看到 CloudFlare 請求加入 Chromium (Google Chrome) 的伺服器列表：「Certificate Transparency - Cloudflare "nimbus2017" Log Server Inclusion Request」。

對照之前的「Chromium 內提案移除 HPKP (HTTP Public Key Pinning)」以及「Let's Encrypt 的 Embed SCT 支援」，這樣看起來是瀏覽器內會有一份白名單，只有在這白名單上的 Embed SCT 才會被信任...

但弄到這樣的話，log server 是不是也要有稽核機制？

好像哪邊搞錯了方向啊...

Amazon Aurora 支援 Auditing

AWS 的人把 auditing plugin 移植到 Amazon Aurora 的 MySQL 環境上了：「Auditing an Amazon Aurora Cluster」。

官方宣稱的效能很好，打開後不會掉太多：

主要原因是把寫 auditing log 這塊改寫掉：

這樣看起來頗不錯，平常其實可以開起來讓他記錄？