当前在线人数13111
首页 - 分类讨论区 - 电脑网络 - 葵花宝典版 - 同主题阅读文章

此篇文章共收到打赏
0

  • 10
  • 20
  • 50
  • 100
您目前伪币余额:0
未名交友
[更多]
[更多]
有谁知道如何捕捉Linux在shell执行的命令?
[版面:葵花宝典][首篇作者:minquan] , 2020年12月22日08:19:46 ,894次阅读,27次回复
来APP回复,赚取更多伪币 关注本站公众号:
[首页] [上页][下页][末页] [分页:1 2 ]
minquan
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 1 ]

发信人: minquan (三民主义), 信区: Programming
标  题: 有谁知道如何捕捉Linux在shell执行的命令?
发信站: BBS 未名空间站 (Tue Dec 22 08:19:46 2020, 美东)

这样可把任何人输入的命令记录下来,甚至发到远程。
--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: unknown,65.]

 
yhangw
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 2 ]

发信人: yhangw (老妖), 信区: Programming
标  题: Re: 有谁知道如何捕捉Linux在shell执行的命令?
发信站: BBS 未名空间站 (Tue Dec 22 13:59:41 2020, 美东)

自己编译一个版本呗  每个键都可以记下来


【 在 minquan (三民主义) 的大作中提到: 】
: 这样可把任何人输入的命令记录下来,甚至发到远程。



--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 96.]

 
guvest
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 3 ]

发信人: guvest (我爱你老婆Anna), 信区: Programming
标  题: Re: 有谁知道如何捕捉Linux在shell执行的命令?
发信站: BBS 未名空间站 (Tue Dec 22 14:45:47 2020, 美东)

這個怎麼弄?有書或者tutorial 推薦嗎?
下面這個文章靠譜嗎?

https://www.linuxjournal.com/content/diy-build-custom-minimal-linux-
distribution-source


【 在 yhangw(老妖) 的大作中提到: 】
<br>: 自己编译一个版本呗  每个键都可以记下来
<br>
--
※ 来源:· 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 72.]

 
meixoo
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 4 ]

发信人: meixoo (m3ix00), 信区: Programming
标  题: Re: 有谁知道如何捕捉Linux在shell执行的命令?
发信站: BBS 未名空间站 (Tue Dec 22 21:02:34 2020, 美东)

1) auditd;
2) eBPF: execsnoop, bashreadline
--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 65.]

 
yhangw
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 5 ]

发信人: yhangw (老妖), 信区: Programming
标  题: Re: 有谁知道如何捕捉Linux在shell执行的命令?
发信站: BBS 未名空间站 (Tue Dec 22 21:35:47 2020, 美东)

对,ebpf,听这位老兄的。


【 在 meixoo (m3ix00) 的大作中提到: 】
: 1) auditd;
: 2) eBPF: execsnoop, bashreadline



--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 96.]

 
yhangw
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 6 ]

发信人: yhangw (老妖), 信区: Programming
标  题: Re: 有谁知道如何捕捉Linux在shell执行的命令?
发信站: BBS 未名空间站 (Tue Dec 22 21:47:41 2020, 美东)

另一个老兄说的bpf路子可能更方便,是个系统调用就给拦了,抓[p]select或者read;
你的需求可能抓lib call readline更合适些。  bpftrace或者perf应该能用上。 怎
样判断用户shell,自动attach上去,抓取什么的,可能有些坑的。 Brendan Gregg的网
站有些例子。 我大概知道这路子,但没具体搞进去过,bpfcc-tools那套工具值得大家
都试试,

不过你要能控制bash程序的发布,那重新编译一下似乎是容易且自然的事儿。 bash的
修改编译比较容易搞。 另外bash执行的就是一堆 execute_*的c函数(execute_cmd.c里
面),你可以看看。 我有阵子无聊改过一个版本用来观察bash的pipeline处理,感觉这
个路子难度比较低。


【 在 guvest (我爱你老婆Anna) 的大作中提到: 】
: 這個怎麼弄?有書或者tutorial 推薦嗎?
: 下面這個文章靠譜嗎?
: https://www.linuxjournal.com/content/diy-build-custom-minimal-linux-
: distribution-source
: <br>: 自己编译一个版本呗  每个键都可以记下来
: <br>




--
※ 修改:·yhangw 於 Dec 22 21:53:35 2020 修改本文·[FROM: 96.]
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 96.]

 
guvest
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 7 ]

发信人: guvest (我爱你老婆Anna), 信区: Programming
标  题: Re: 有谁知道如何捕捉Linux在shell执行的命令?
发信站: BBS 未名空间站 (Tue Dec 22 22:11:05 2020, 美东)

谢谢诸位。我试下看看。


【 在 yhangw(老妖) 的大作中提到: 】
<br>: 另一个老兄说的bpf路子可能更方便,是个系统调用就给拦了,抓[p]select或者
read;
<br>:  你的需求可能抓lib call readline更合适些。  bpftrace或者perf应该能用上
。 怎
<br>: 样判断用户shell,自动attach上去,抓取什么的,可能有些坑的。 Brendan
Gregg的网
<br>: 站有些例子。 我大概知道这路子,但没具体搞进去过,bpfcc-tools那套工具值
得大家
<br>: 都试试,
<br>: 不过你要能控制bash程序的发布,那重新编译一下似乎是容易且自然的事儿。
bash的
<br>: 修改编译比较容易搞。 另外bash执行的就是一堆 execute_*的c函数(execute_
cmd.c里
<br>: 面),你可以看看。 我有阵子无聊改过一个版本用来观察bash的pipeline处理,
感觉这
<br>: 个路子难度比较低。
<br>
--
※ 来源:· 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 2607:fb90:1cd7:]

 
netghost
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 8 ]

发信人: netghost (Up to Isomorphism), 信区: Programming
标  题: Re: 有谁知道如何捕捉Linux在shell执行的命令?
发信站: BBS 未名空间站 (Tue Dec 22 22:45:52 2020, 美东)

這是個僞問題。

好比你問怎麼在某個人家裡裝個攝像頭,你不說你是誰?和他什麼關係?你能不能進他
家門?他知不知道你有這個想法?你怕不怕被抓住的後果?沒法回答。
【 在 minquan (三民主义) 的大作中提到: 】
: 这样可把任何人输入的命令记录下来,甚至发到远程。



--

※ 来源:·BBS 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 71.]

 
netghost
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 9 ]

发信人: netghost (Up to Isomorphism), 信区: Programming
标  题: Re: 有谁知道如何捕捉Linux在shell执行的命令?
发信站: BBS 未名空间站 (Tue Dec 22 22:50:24 2020, 美东)

eBPF怎麼知道啓動的虛擬機裏面按了什麼鍵?
此外如果用戶用user mode執行,可以完全不通過系統的exec調用執行代碼。
【 在 meixoo (m3ix00) 的大作中提到: 】
: 1) auditd;
: 2) eBPF: execsnoop, bashreadline



--

※ 来源:·BBS 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 71.]

 
minquan
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 10 ]

发信人: minquan (三民主义), 信区: Programming
标  题: Re: 有谁知道如何捕捉Linux在shell执行的命令?
发信站: BBS 未名空间站 (Tue Dec 22 23:57:43 2020, 美东)

auditd只关注文件

eBPF看起来不错,但是在云上实施比较困难

请问直接在/etc/bashrc中抓能不能实现?

我现在会抓了,可是不知道对手有没有办法绕过/etc/bashrc


【 在 meixoo (m3ix00) 的大作中提到: 】
: 1) auditd;
: 2) eBPF: execsnoop, bashreadline



--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: unknown,65.]

 
minquan
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 11 ]

发信人: minquan (三民主义), 信区: Programming
标  题: Re: 有谁知道如何捕捉Linux在shell执行的命令?
发信站: BBS 未名空间站 (Tue Dec 22 23:58:43 2020, 美东)

我查了serverfault,有个snoopy的github项目,可是开发者的文档不全。
--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: unknown,65.]

 
minquan
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 12 ]

发信人: minquan (三民主义), 信区: Programming
标  题: Re: 有谁知道如何捕捉Linux在shell执行的命令?
发信站: BBS 未名空间站 (Wed Dec 23 00:01:17 2020, 美东)

我觉得你有心理疾病,最好去看心理医生

安全的问题永远是魔高一尺还是道高一丈的问题
并不因为你能抓到我的漏洞,就证明我的防范是不应采用的,完全无防范最好

【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 這是個僞問題。
: 好比你問怎麼在某個人家裡裝個攝像頭,你不說你是誰?和他什麼關係?你能不能進他
: 家門?他知不知道你有這個想法?你怕不怕被抓住的後果?沒法回答。



--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: unknown,65.]

 
netghost
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 13 ]

发信人: netghost (Up to Isomorphism), 信区: Programming
标  题: Re: 有谁知道如何捕捉Linux在shell执行的命令?
发信站: BBS 未名空间站 (Wed Dec 23 10:07:06 2020, 美东)

只能聽自己順耳的話,是你這種人最大的問題。用U盤拷東西被送局子裏面去的人都是
你這種。

我就提醒你一句,你是魔還是別人是魔還真不好說,目前看起來你在幹爛事的可能性比
較大,好自爲之。


【 在 minquan (三民主义) 的大作中提到: 】
: 标  题: Re: 有谁知道如何捕捉Linux在shell执行的命令?
: 发信站: BBS 未名空间站 (Wed Dec 23 00:01:17 2020, 美东)
:
: 我觉得你有心理疾病,最好去看心理医生
:
: 安全的问题永远是魔高一尺还是道高一丈的问题
: 并不因为你能抓到我的漏洞,就证明我的防范是不应采用的,完全无防范最好
:
: 【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: : 這是個僞問題。
: : 好比你問怎麼在某個人家裡裝個攝像頭,你不說你是誰?和他什麼關係?你能不能
進他
: : 家門?他知不知道你有這個想法?你怕不怕被抓住的後果?沒法回答。
:
:
:
: --
: ※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: unknown,65.]



--

※ 来源:·BBS 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 71.]

 
minquan
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 14 ]

发信人: minquan (三民主义), 信区: Programming
标  题: Re: 有谁知道如何捕捉Linux在shell执行的命令?
发信站: BBS 未名空间站 (Wed Dec 23 22:20:51 2020, 美东)

我是老板。
不用你操我公司的心。

【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 只能聽自己順耳的話,是你這種人最大的問題。用U盤拷東西被送局子裏面去的人都是
: 你這種。
: 我就提醒你一句,你是魔還是別人是魔還真不好說,目前看起來你在幹爛事的可能性比
: 較大,好自爲之。
: 進他



--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: unknown,65.]

 
netghost
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 15 ]

发信人: netghost (Up to Isomorphism), 信区: Programming
标  题: Re: 有谁知道如何捕捉Linux在shell执行的命令?
发信站: BBS 未名空间站 (Wed Dec 23 23:27:22 2020, 美东)

你的問題有效性和你是不是老闆沒直接關係,很多中國人的一大問題就是是員工的時候
不care law,當了老闆也不care law。死都不知道怎麼死的。

還是那句話,好自爲之。

【 在 minquan (三民主义) 的大作中提到: 】
: 我是老板。
: 不用你操我公司的心。



--

※ 来源:·BBS 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 71.]

 
minquan
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 16 ]

发信人: minquan (三民主义), 信区: Programming
标  题: Re: 有谁知道如何捕捉Linux在shell执行的命令?
发信站: BBS 未名空间站 (Thu Dec 24 04:03:35 2020, 美东)

请问捕捉在Linux中敲入的命令,违反哪条Law了?

【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 你的問題有效性和你是不是老闆沒直接關係,很多中國人的一大問題就是是員工的時候
: 不care law,當了老闆也不care law。死都不知道怎麼死的。
: 還是那句話,好自爲之。



--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: unknown,65.]

 
dailygrind16
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 17 ]

发信人: dailygrind16 (天天绞肉机), 信区: Programming
标  题: Re: 有谁知道如何捕捉Linux在shell执行的命令?
发信站: BBS 未名空间站 (Thu Dec 24 16:58:54 2020, 美东)

> 我现在会抓了,可是不知道对手有没有办法绕过/etc/bashrc

这个取决于你的主要防范的敌人是谁。 如果是insider threat, 那么上面的措施可能
够了。

如果是外部的敌人利用软件缺陷侵入,他们是可以“绕过/etc/bashrc”的。

【 在 minquan (三民主义) 的大作中提到: 】
: auditd只关注文件
: eBPF看起来不错,但是在云上实施比较困难
: 请问直接在/etc/bashrc中抓能不能实现?
: 我现在会抓了,可是不知道对手有没有办法绕过/etc/bashrc



--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 2601:5c2:202:29]

 
fantasist
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 18 ]

发信人: fantasist (一), 信区: Programming
标  题: Re: 有谁知道如何捕捉Linux在shell执行的命令?
发信站: BBS 未名空间站 (Thu Dec 24 21:46:05 2020, 美东)

如果所有人都ssh到服务器上,记录所有ssh通信大概更方便点

--
☆ 发自 iPhone 买买提 1.24.11
--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 2600:1700:4384:]

 
TeacherWei
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 19 ]

发信人: TeacherWei (TW), 信区: Programming
标  题: 有谁知道如何捕捉Linux在shell执行的命令?
发信站: BBS 未名空间站 (Thu Dec 24 22:18:41 2020, 美东)

Audit process creation就行了。
基础设施都是现成的。而且更加底层。

--
※ 来源:· 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 74.]

 
TeacherWei
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 20 ]

发信人: TeacherWei (TW), 信区: Programming
标  题: 有谁知道如何捕捉Linux在shell执行的命令?
发信站: BBS 未名空间站 (Thu Dec 24 22:20:15 2020, 美东)

apt-get install auditd
auditctl -a task,always
ausearch -i -sc execve

https://superuser.com/questions/222912/how-can-i-log-all-process-launches-in
-linux

--
※ 来源:· 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 74.]

[首页] [上页][下页][末页] [分页:1 2 ]
[快速返回] [ 进入葵花宝典讨论区] [返回顶部]
回复文章
标题:
内 容:

未名交友
将您的链接放在这儿

友情链接


 

Site Map - Contact Us - Terms and Conditions - Privacy Policy

版权所有,未名空间(mitbbs.com),since 1996