37、用户按键监控与审计全攻略

用户按键监控与审计全攻略

在大多数大型企业中，对用户操作进行监控是必要的，尤其是对拥有系统根访问权限或其他管理类型账户（如 Oracle）的用户按键进行审计。现场承包商可能带来安全风险，通常在新应用引入时，他们会在现场进行安装、故障排除和人员培训。

监控的必要性与现有问题

使用sudo可以跟踪带有时间戳的命令，但无法记录命令输出的详细信息，因此在出现问题时无法提供完整的审计跟踪。为了解决这个问题，我们可以使用script命令跟踪用户从登录到退出账户期间的所有按键操作。

script命令基础

script命令用于捕获终端上的所有输入和输出，并将其保存到指定的日志文件中。其基本语法为：

script [filename]

如果不指定文件名，日志将保存为当前目录下的typescript文件。脚本会话结束时，需要退出派生的 shell，这意味着要完全注销系统需要两次退出操作。

以下是一个命令行脚本会话示例：

[root:yogi]@/# more /usr/local/logs/script/script_example.out Script command is started on Wed May 8 21:35:27 EDT 2002. [root:yogi]@/# cd /usr