ジャンプサーバーが使用されている時期を検出できることを確認したいと思います。
次のシナリオを想像してください。
Client -(ssh)-> JumpServer -(ssh)-> Server
Server接続したモニターにログやその他の項目(IPアドレスなど)が保存されていますかClient?それとも、接続されたモニターだけを見て、接続に関するJumpServer手がかりが全くありませんか?ClientJumpServer
ベストアンサー1
簡単な答えは「いいえ」です。エンド・エンドポイント・サーバーに保管された元のクライアントの記録はありません。サーバーは、直接接続されたIPアドレスと接続資格情報(ユーザー、パスワード、または公開鍵)のみを検出できます。サーバーの観点から見ると、ユーザーはジャンプホストからログインします。
存在できる唯一のレコードはジャンプホストにあります。デフォルトでは、この場合でも痕跡が残らないことがあります。デフォルトでは、クライアントログインは記録されますが、ターミナルサーバーに転送された接続は記録されません。
興味深い事実これが、ハッカーが見つけることができる安全でないSSHサーバーにログインしようとする理由です。そこでより深刻な攻撃が実行され、感染したシステムが犯人のように見える可能性があります。