电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛

标题: 使用 Ttyutils 截获 UNIX/Linux 终端（1） [打印本页]

作者: look_w 时间: 2018-5-23 17:20 标题: 使用 Ttyutils 截获 UNIX/Linux 终端（1）

在本文档中，UNIX 终端也泛指 Linux 终端。并且，本文中的终端不仅仅包括物理终端，也包括虚拟控制台，图形仿真终端，例如 xterm, 和具备网络能力的仿真终端，例如 putty。
为了有助更加形象的描述，这篇文档会使用截获，捕获，甚至偷窥这样的词语，但这是没有恶意的。
监控终端会话在通常情况下，当用户从终端登录 UNIX 主机时，系统登录程序会记录用户的登录时间，主机名称等信息到系统 utmp 数据库和 wtmp 数据库，却不能跟踪用户进入 shell 之后的会话。
有一些程序，例如 script，可以记录用户在终端上的会话到一个文件中，然后在后来的某个时候通过那个文件重现用户当时的会话。script 的局限性在于它只能记录，而不能干涉用户的会话，例如当用户在命令行输入”rm -fr /”这样的命令时，它没有办法阻止。
在一些受控的环境中，系统管理员必须有能力实时的查看用户的会话，或者因为好奇，想偷窥远程登录到你的主机的用户在干些什么，并且，如果必要，还可以实时的禁止或者终止用户进行更多的操作，这是很有趣的。
在 UNIX 中，有很多使用终端作为人机交互接口的应用程序，例如常用的 shell, vi，还有一些特定于行业的应用程序，例如我们在银行里办理业务时，营业柜员使用的操作接口。如果能够通过截获和实时的分析程序的输出所引起的终端变化，并可以根据这些变化的特征来触发特殊的动作将是非常有用的。例如，当用户在提示符下输入 vi 两个字符时，就自动的启动 vi 编辑器，这样就可以省去按下回车键的麻烦。
考虑这样的情况，有一个运行在终端上的重要软件包，例如金融机构的业务处理系统，需要对现有的业务进行改造，例如为了支持新的设备，但是却因为各种原因，不能修改系统的代码。这可以通过对现有的系统进行监控和分析来做到，并且，因为没有直接修改现有的系统，可以很容易的移除或修改。
Ttyutils 是为这个目标设计的一个软件包，它主要包括三个实用程序：ttyexec，ttyadmin，和 ttylook。
安装 ttyutilsTtyutils 软件包使用 RPM 包发布，首先从参考资源列出的地址下载 ttyutils 软件包的最新版本，然后使用下面的命令安装 :

1	# rpm -Uvh ./ttyutils-@version.@release.@platform.rpm

其中 @version，@release 和 @platform 分别是版本号，发行号，以及平台。
安装 RPM 软件包通常需要 root 权限。
安装完成后，你可能需要配置一下日志文件。Ttyutils 的日志采用 syslog 函数记录，采用的 facility 为 LOG_LOCAL3，默认情况下，在 Linux 平台，所有消息将输出到 /var/log/messages 文件中，可以通过配置 /etc/syslog.conf 来重定向到一个单独的文件中，例如下面是一个例子 :

1 2	# Save ttyutils messages to ttyutils.log local3.* /var/log/ttyutils.log

对于不支持 local3 作为 facility 的系统，可以采用下面的语法 :

1 2	# Save ttyutils messages to ttyutils.log *.debug /var/log/syslog.out

Ttyutils 软件包的程序支持 --logfile 选项，它可以将日志重定向到一个指定的文件中。
一切就绪，下面开始一个简单的会话。
登录两个终端 A 和 B，在终端 A 的 shell 提示符下输入 :

1
2
3

$ ttyexec
$ tty
/dev/pts/3

其中“/dev/pts/3”是 tty 命令的输出，可能会是其它的名字，记住这个名字，然后在终端 B 输入：
$ ttylook --pts /dev/pts/3 -w
这时终端 A 的输出将会反应在终端 B，反之亦然。
其中，ttyexec 是监控程序，它的使用方法与 shell 中命令 exec 相似，被 ttyexec 启动的程序的输入输出将被 ttyexec 截获，如果没有参数，那么它会执行在 /etc/passwd 文件中为当前用户设置的 shell 程序。
当通过 ttyexec 在终端 A 监控了一个程序之后，ttyexec 自身不会记录任何关于会话的标准输入输出信息到某个文件或者其它地方，如果用户想查看被监控的程序的标准输出，需要使用在另外一个终端 B 上使用 ttylook 连接到那个 ttyexec，当连接建立以后，ttyexec 就会将截获的数据发送给 ttylook，而 ttylook 则将这些数据输出到终端 B 上。这个时候，终端 B 的屏幕和终端 A 的屏幕将会一样，并且如果不断开连接，将会实时的保持同步。这就相当于两个终端共享了一个用户会话。因为 ttyexec 支持多个 ttylook 连接，也就是说可以三个，四个，或者更多个终端共享同一个用户会话。
ttyadmin 是用于管理当前系统中运行的 ttyexec 进程的工具，对于熟悉 Ttyutils 的用户，它提供了一些很有用的功能。
使用 ttyexec 截获用户会话 ttyexec 是监控程序，被它监控的程序的标准输入输出将会被 ttyexec 截获，ttyexec 的用法很简单，只需要在命令行指定一个将被监控的程序名称即可，例如：

1	$ ttyexec vim

如果那个程序需要参数，直接跟在命令行后面即可，例如 :

1	$ ttyexec vim /etc/inittab

使用 ttyexec 不需要任何的特权。
如果没有在命令行中指定一个程序名称，那么 ttyexec 将会尝试去执行当前用户在 /etc/passwd 文件中登记的 shell 程序。
一个简单的技巧用来完整的监控用户从登录开始到退出登录之间的完整会话，就是在用户的 profile 文件最后加入下面的二行 :

1 2	ttyexec exit $?

在本文档中，运行一个 ttyexec 实例就是为了监控一个用户在终端的会话，所以，有时候为了描述方便，也用一个 ttyexec 实例来代表一个监控的用户会话。
使用 ttylook 控制用户会话当使用 ttyexec 监控了一个程序之后，如果想偷窥被监控终端上的会话，就需要在另外一个终端使用 ttylook 连接到 ttyexec。
使用 ttylook，必须要知道运行 ttyexec 的那个终端的终端名称，伪终端名称，或者进程 ID 中的至少一个。这可以很容易的从 ttyadmin 获得，看下图：
图 1 ttyadmin 截图

这是运行在 IBM AIX5.1 上的 ttyadmin 的截图，在主窗口中，每一行列出了当前系统中的一个 ttyexec 实例，信息包括运行它的用户 ( 图中故意模糊了 )，进程 ID，终端名称，伪终端名称，运行的时间和运行的命令。
在上图中我们可以看到当前系统有 13 个 ttyexec 实例在运行。
在上图中，如果用 ttylook 连接被监控的终端 /dev/pts/16，可以使用下面的命令中的任意一个，它们是等价的：

1
2
3

$ ttylook --tty /dev/pts/16
$ ttylook --pid 319688
$ ttylook --pts /dev/ttypf

在默认情况下，ttylook 在只读模式运行，也就是说，它只能偷窥被监控的终端，而不能操作被监控的终端，如果要操作被监控的终端，它必须通过命令行 --writable 进入可写模式。
但是进入了可写模式很危险，特别是你不希望让被监控终端上的用户发现的时候。所以默认是只读模式。
回顾一下，假设用户 1 在终端 A 在上运行着 ttyexec，用户 2 在终端 B 上运行着 ttylook，当 ttylook 连接到的 ttyexec 实例后，终端 A 和终端 B 的屏幕内容将实时同步，所以，用户 1 在被监控终端上的所有会话对于用户 2 而言就暴露无遗了。

欢迎光临电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛 (http://bbs.eccn.com/)