m*****n
发帖数: 3575 | 1 这样可把任何人输入的命令记录下来,甚至发到远程。 |
y****w
发帖数: 3747 | 2 自己编译一个版本呗 每个键都可以记下来
【在 m*****n 的大作中提到】
: 这样可把任何人输入的命令记录下来,甚至发到远程。
|
g****t
发帖数: 31659 | 3 這個怎麼弄?有書或者tutorial 推薦嗎?
下面這個文章靠譜嗎?
https://www.linuxjournal.com/content/diy-build-custom-minimal-linux-
distribution-source
: 自己编译一个版本呗 每个键都可以记下来
【在 y****w 的大作中提到】
: 自己编译一个版本呗 每个键都可以记下来
|
m****o
发帖数: 3 | 4 1) auditd;
2) eBPF: execsnoop, bashreadline |
y****w
发帖数: 3747 | 5 对,ebpf,听这位老兄的。
【在 m****o 的大作中提到】
: 1) auditd;
: 2) eBPF: execsnoop, bashreadline
|
y****w
发帖数: 3747 | 6 另一个老兄说的bpf路子可能更方便,是个系统调用就给拦了,抓[p]select或者read;
你的需求可能抓lib call readline更合适些。 bpftrace或者perf应该能用上。 怎
样判断用户shell,自动attach上去,抓取什么的,可能有些坑的。 Brendan Gregg的网
站有些例子。 我大概知道这路子,但没具体搞进去过,bpfcc-tools那套工具值得大家
都试试,
不过你要能控制bash程序的发布,那重新编译一下似乎是容易且自然的事儿。 bash的
修改编译比较容易搞。 另外bash执行的就是一堆 execute_*的c函数(execute_cmd.c里
面),你可以看看。 我有阵子无聊改过一个版本用来观察bash的pipeline处理,感觉这
个路子难度比较低。
【在 g****t 的大作中提到】
: 這個怎麼弄?有書或者tutorial 推薦嗎?
: 下面這個文章靠譜嗎?
: https://www.linuxjournal.com/content/diy-build-custom-minimal-linux-
: distribution-source
:
:
: 自己编译一个版本呗 每个键都可以记下来
:
|
g****t
发帖数: 31659 | 7 谢谢诸位。我试下看看。
: 另一个老兄说的bpf路子可能更方便,是个系统调用就给拦了,抓[p]select或者
read;
: 你的需求可能抓lib call readline更合适些。 bpftrace或者perf应该能用上
。 怎
: 样判断用户shell,自动attach上去,抓取什么的,可能有些坑的。 Brendan
Gregg的网
: 站有些例子。 我大概知道这路子,但没具体搞进去过,bpfcc-tools那套工具值
得大家
: 都试试,
: 不过你要能控制bash程序的发布,那重新编译一下似乎是容易且自然的事儿。
bash的
: 修改编译比较容易搞。 另外bash执行的就是一堆 execute_*的c函数(execute_
cmd.c里
: 面),你可以看看。 我有阵子无聊改过一个版本用来观察bash的pipeline处理,
感觉这
: 个路子难度比较低。
【在 y****w 的大作中提到】
: 另一个老兄说的bpf路子可能更方便,是个系统调用就给拦了,抓[p]select或者read;
: 你的需求可能抓lib call readline更合适些。 bpftrace或者perf应该能用上。 怎
: 样判断用户shell,自动attach上去,抓取什么的,可能有些坑的。 Brendan Gregg的网
: 站有些例子。 我大概知道这路子,但没具体搞进去过,bpfcc-tools那套工具值得大家
: 都试试,
: 不过你要能控制bash程序的发布,那重新编译一下似乎是容易且自然的事儿。 bash的
: 修改编译比较容易搞。 另外bash执行的就是一堆 execute_*的c函数(execute_cmd.c里
: 面),你可以看看。 我有阵子无聊改过一个版本用来观察bash的pipeline处理,感觉这
: 个路子难度比较低。
|
n******t
发帖数: 4406 | 8 這是個僞問題。
好比你問怎麼在某個人家裡裝個攝像頭,你不說你是誰?和他什麼關係?你能不能進他
家門?他知不知道你有這個想法?你怕不怕被抓住的後果?沒法回答。
【在 m*****n 的大作中提到】
: 这样可把任何人输入的命令记录下来,甚至发到远程。
|
n******t
发帖数: 4406 | 9 eBPF怎麼知道啓動的虛擬機裏面按了什麼鍵?
此外如果用戶用user mode執行,可以完全不通過系統的exec調用執行代碼。
【在 m****o 的大作中提到】
: 1) auditd;
: 2) eBPF: execsnoop, bashreadline
|
m*****n
发帖数: 3575 | 10 auditd只关注文件
eBPF看起来不错,但是在云上实施比较困难
请问直接在/etc/bashrc中抓能不能实现?
我现在会抓了,可是不知道对手有没有办法绕过/etc/bashrc
【在 m****o 的大作中提到】
: 1) auditd;
: 2) eBPF: execsnoop, bashreadline
|
|
|
m*****n
发帖数: 3575 | 11 我查了serverfault,有个snoopy的github项目,可是开发者的文档不全。 |
m*****n
发帖数: 3575 | 12 我觉得你有心理疾病,最好去看心理医生
安全的问题永远是魔高一尺还是道高一丈的问题
并不因为你能抓到我的漏洞,就证明我的防范是不应采用的,完全无防范最好
【在 n******t 的大作中提到】
: 這是個僞問題。
: 好比你問怎麼在某個人家裡裝個攝像頭,你不說你是誰?和他什麼關係?你能不能進他
: 家門?他知不知道你有這個想法?你怕不怕被抓住的後果?沒法回答。
|
n******t
发帖数: 4406 | 13 只能聽自己順耳的話,是你這種人最大的問題。用U盤拷東西被送局子裏面去的人都是
你這種。
我就提醒你一句,你是魔還是別人是魔還真不好說,目前看起來你在幹爛事的可能性比
較大,好自爲之。
進他
【在 m*****n 的大作中提到】
: 我觉得你有心理疾病,最好去看心理医生
: 安全的问题永远是魔高一尺还是道高一丈的问题
: 并不因为你能抓到我的漏洞,就证明我的防范是不应采用的,完全无防范最好
|
m*****n
发帖数: 3575 | 14 我是老板。
不用你操我公司的心。
【在 n******t 的大作中提到】
: 只能聽自己順耳的話,是你這種人最大的問題。用U盤拷東西被送局子裏面去的人都是
: 你這種。
: 我就提醒你一句,你是魔還是別人是魔還真不好說,目前看起來你在幹爛事的可能性比
: 較大,好自爲之。
:
: 進他
|
n******t
发帖数: 4406 | 15 你的問題有效性和你是不是老闆沒直接關係,很多中國人的一大問題就是是員工的時候
不care law,當了老闆也不care law。死都不知道怎麼死的。
還是那句話,好自爲之。
【在 m*****n 的大作中提到】
: 我是老板。
: 不用你操我公司的心。
|
m*****n
发帖数: 3575 | 16 请问捕捉在Linux中敲入的命令,违反哪条Law了?
【在 n******t 的大作中提到】
: 你的問題有效性和你是不是老闆沒直接關係,很多中國人的一大問題就是是員工的時候
: 不care law,當了老闆也不care law。死都不知道怎麼死的。
: 還是那句話,好自爲之。
|
d**********6
发帖数: 112 | 17 > 我现在会抓了,可是不知道对手有没有办法绕过/etc/bashrc
这个取决于你的主要防范的敌人是谁。 如果是insider threat, 那么上面的措施可能
够了。
如果是外部的敌人利用软件缺陷侵入,他们是可以“绕过/etc/bashrc”的。
【在 m*****n 的大作中提到】
: auditd只关注文件
: eBPF看起来不错,但是在云上实施比较困难
: 请问直接在/etc/bashrc中抓能不能实现?
: 我现在会抓了,可是不知道对手有没有办法绕过/etc/bashrc
|
f*******t
发帖数: 7549 | 18 如果所有人都ssh到服务器上,记录所有ssh通信大概更方便点 |
T********i
发帖数: 2416 | 19 Audit process creation就行了。
基础设施都是现成的。而且更加底层。 |
T********i
发帖数: 2416 | 20 apt-get install auditd
auditctl -a task,always
ausearch -i -sc execve
https://superuser.com/questions/222912/how-can-i-log-all-process-launches-in
-linux |
|
|
m*****n
发帖数: 3575 | 21 问题在于ssh是加密的,费劲半天可能抓包是一堆乱码
【在 f*******t 的大作中提到】
: 如果所有人都ssh到服务器上,记录所有ssh通信大概更方便点
|
m*****n
发帖数: 3575 | 22 多谢魏老师
in
【在 T********i 的大作中提到】
: apt-get install auditd
: auditctl -a task,always
: ausearch -i -sc execve
: https://superuser.com/questions/222912/how-can-i-log-all-process-launches-in
: -linux
|
f*******t
发帖数: 7549 | 23 sshd也许可以加个audit插件,你都有root权限了还抓包干嘛,吃力不讨好。
话说回来,我昨天也google了一下”audit shell commands”,正经公司也用auditd,
前几个回帖里就有人推荐过了,不知道你还有啥不满意的……
【在 m*****n 的大作中提到】
: 问题在于ssh是加密的,费劲半天可能抓包是一堆乱码
|
m*****n
发帖数: 3575 | 24 auditd我搜的是杂七杂八的系统进程也抓,抓得太细了,反而会形成很多噪音,不能突
出真正的个性化操作。
【在 f*******t 的大作中提到】
: sshd也许可以加个audit插件,你都有root权限了还抓包干嘛,吃力不讨好。
: 话说回来,我昨天也google了一下”audit shell commands”,正经公司也用auditd,
: 前几个回帖里就有人推荐过了,不知道你还有啥不满意的……
|
w***g
发帖数: 5958 | 25 用crontab周期性抓取所有用户的.bash_history
【在 m*****n 的大作中提到】
: 这样可把任何人输入的命令记录下来,甚至发到远程。
|
w***g
发帖数: 5958 | 26 老魏好犀利,学习了。
in
【在 T********i 的大作中提到】
: apt-get install auditd
: auditctl -a task,always
: ausearch -i -sc execve
: https://superuser.com/questions/222912/how-can-i-log-all-process-launches-in
: -linux
|
f*******t
发帖数: 7549 | 27 tmux每个window都有各自的history,怀疑这个文件的靠谱程度
【在 w***g 的大作中提到】
: 用crontab周期性抓取所有用户的.bash_history
|
m*****n
发帖数: 3575 | 28 真厉害!
有介绍重编译bash来激活隐藏记录功能的。
的修改编译比较容易搞。
【在 y****w 的大作中提到】
: 另一个老兄说的bpf路子可能更方便,是个系统调用就给拦了,抓[p]select或者read;
: 你的需求可能抓lib call readline更合适些。 bpftrace或者perf应该能用上。 怎
: 样判断用户shell,自动attach上去,抓取什么的,可能有些坑的。 Brendan Gregg的网
: 站有些例子。 我大概知道这路子,但没具体搞进去过,bpfcc-tools那套工具值得大家
: 都试试,
: 不过你要能控制bash程序的发布,那重新编译一下似乎是容易且自然的事儿。 bash的
: 修改编译比较容易搞。 另外bash执行的就是一堆 execute_*的c函数(execute_cmd.c里
: 面),你可以看看。 我有阵子无聊改过一个版本用来观察bash的pipeline处理,感觉这
: 个路子难度比较低。
|
