各位大大好
目前公司的server 主要都是透過一台windows 平台當跳板再藉由這台ssh 或 telnet到各式service平台上去,現在為了iso27001的關係,需由監控user從這台跳板機登入到後方平台後所執行了哪些事(指令)。
目前小弟知道如果後方是windows平台(遠端桌面)可利用類似vnc的工具做錄影,不過如果是unix or linux後方主機要如何監控使用者的行為呢?利用psacct只能達到監控跳板機後方的session就無法監控到了, 或是大大可推薦一些不錯的廠商or軟體可達到這方面的需求的
困惑的小弟拜上 orz...
已邀請的邦友 {{ invite_list.length }}/5
針對 Xorg/Xwindow:
參考:
Record your Linux desktop from the command line
文中的參考範例
<pre class="c" name="code">ffmpeg -f x11grab -s wxga -r 25 -i :0.0 -sameq /home/user/out.mpg
針對 command line 的環境:
參考:
Record your Linux command line with the script command
利用 script 這個指令來記錄。
這是怎麼具體使用的參考:
record the terminal session and replay later
也可參考這篇討論:
How to record a command line session to a file?
這些都是手動去執行的做法,
若要讓每個帳號登入都記錄的話,
需透過shell script,
根據每次不同的環境,
自動寫到不同的記錄檔。
上述這些動作是會被使用者中止。
或者可參考:
Using script to automatically record terminal sessions when a user logs in
比較理想的做法,
是以root的身份,
自動去把所有開啟的tty或pts,
都可像script那樣記錄存在某處。
可以試一下這個產品, 取代你的跳板機.
http://www.proware.com.tw/tc/product/product_solution_Xceedium.html
細項規格我就不清楚了, 直接找廠商來 demo 或試用比較快.
我們公司買設備都是先試用過, 再決定要不要買.
剛好對Xceedium有一點了解,
1.可用錄影的方式記錄使用者的操作,有需要的時候可以調畫面出來(Client不用裝Agent)!
2.如果有蛙跳(跳板)的行為會中斷、紀錄、並通知管理員。
3.可以設定那些程式、指令可不可以執行。
http://www.jas-solution.com/observeit/solution-1.html
小弟後來上網有google到這款 observeit
看demo是有支援各大平台 不過這套也是要裝agent才行..
用ipGuard之類的程式監視被當成跳板的windows就好了,執行了哪些程式,通訊了什資料都會被這種類似木馬的程式紀錄下來。
iThome鐵人賽
看影片追技術