SSH运维审计FAQ
Q:SSH运维审计和堡垒机的场景区别
A:虽然堡垒机是一种常见成熟的运维安全的方案,但是很多的运维场景是绕行了堡垒机的,1.很多中小型单位,系统的运维往往是外包给厂商负责的,而非专门的驻场运维;这些厂商往往都是需要时通过远程的VPN采用SSH直连服务器的方式进行运维而非通过内网的堡垒机跳转运维。即使是较大的单位,由第三方开发和提供的产品遇到较大故障时,需要原厂技术支持时,也很难要求原厂的远程技术人员到现场通过堡垒机来运维而采用SSH直连服务器方式。2.很多的堡垒机,对操作命令和返回结果内容还是以录屏的方式进行记录,这种情况分析非常低效难以借助系统自动化分析。SSH运维审计通过在服务器侧直接获取运维人员的操作命令和返回内容,针对直连服务器的场景也可以做到自动化的监控和分析。3.随数安法要求,运维审计不仅仅关注运维人员的高危操作,对运维人员访问的敏感数据也需要分析和记录日志,但是堡垒机很难对数据层进行细粒度记录和分析
Q:SSH这样的加密协议能解密吗?
A:SSH这样的加密协议只靠网络侧的报文是无法解密的(否则就是重大安全风险了),但是通过在服务器端进行处理,可以解密SSH协议里的内容。