用户按键监控与审计指南
在大多数大型机构中,至少偶尔会有监控用户操作的需求。比如对拥有系统根访问权限或其他管理类型账户(如 Oracle)的用户按键进行审计。现场承包商可能带来特定安全风险,通常新应用引入时,会有一两名承包商在现场进行安装、故障排除和人员培训。
1. 监控需求与 sudo 局限性
sudo 可用于设置承包商访问新应用账户,但它只能跟踪带有日期/时间戳的输入命令,标准输出和标准错误的详细命令输出不会被记录,因此在出现问题时无法提供完整审计轨迹。
2. script 命令实现按键跟踪
若有足够的日志文件空间,可使用script命令从用户访问账户到退出账户期间跟踪其按键操作。具体做法是使用 sudo 启动一个 shell 脚本开启script会话,会话运行时,终端上的所有输入和输出都会被捕获到日志文件中。虽然用户进入某些菜单或程序时日志文件可能难以阅读,但至少能了解大致情况。而且这种监控并非秘密进行,会话开始时会通知用户并告知日志文件名。
2.1 script 命令语法
script命令语法如下:
script [filename]若未指定文件名,类型记录将保存在当前目录下名为typescript的文件中。脚本会话在派生的 shell 退出时结束,这意味着完全退出系统需要两次退出操作。
2.2 示例会话
以下是一个命令行script
