使用 Ttyutils 截获 UNIX/Linux nbs
对于大多数 UNIX 和 Linux 用户,终端无疑是不可或缺的。本文将描述一个可以让 UNIX 终端会话完整受控的软件包,它叫做 Ttyutils。这篇文档将向大家介绍 Ttyutils 的基本使用方法以及它的实现机制。
在本文档中,UNIX 终端也泛指 Linux 终端。并且,本文中的终端不仅仅包括物理终端,也包括虚拟控制台,图形仿真终端,例如 xterm, 和具备网络能力的仿真终端,例如 putty。
为了有助更加形象的描述,这篇文档会使用截获,捕获,甚至偷窥这样的词语,但这是没有恶意的。
监控终端会话
在通常情况下,当用户从终端登录 UNIX 主机时,系统登录程序会记录用户的登录时间,主机名称等信息到系统 utmp 数据库和 wtmp 数据库,却不能跟踪用户进入 shell 之后的会话。
有一些程序,例如 script,可以记录用户在终端上的会话到一个文件中,然后在后来的某个时候通过那个文件重现用户当时的会话。script 的局限性在于它只能记录,而不能干涉用户的会话,例如当用户在命令行输入”rm -fr /”这样的命令时,它没有办法阻止。
在一些受控的环境中,系统管理员必须有能力实时的查看用户的会话,或者因为好奇,想偷窥远程登录到你的主机的用户在干些什么,并且,如果必要,还可以实时的禁止或者终止用户进行更多的操作,这是很有趣的。
在 UNIX 中,有很多使用终端作为人机交互接口的应用程序,例如常用的 shell, vi,还有一些特定于行业的应用程序,例如我们在银行里办理业务时,营业柜员使用的操作接口。如果能够通过截获和实时的分析程序的输出所引起的终端变化,并可以根据这些变化的特征来触发特殊的动作将是非常有用的。例如,当用户在提示符下输入 vi 两个字符时,就自动的启动 vi 编辑器,这样就可以省去按下回车键的麻烦。
考虑这样的情况,有一个运行在终端上的重要软件包,例如金融机构的业务处理系统,需要对现有的业务进行改造,例如为了支持新的设备,但是却因为各种原因,不能修改系统的代码。这可以通过对现有的系统进行监控和分析来做到,并且,因为没有直接修改现有的系统,可以很容易的移除或修改。
Ttyutils 是为这个目标设计的一个软件包,它主要包括三个实用程序:ttyexec,ttyadmin,和 ttylook。
安装 ttyutils
Ttyutils 软件包使用 RPM 包发布,首先从参考资源列出的地址下载 ttyutils 软件包的最新版本,然后使用下面的命令安装 :
# rpm -Uvh ./ttyutils-@version.@[email protected]
其中 @version,@release 和 @platform 分别是版本号,发行号,以及平台。
安装 RPM 软件包通常需要 root 权限。
安装完成后,你可能需要配置一下日志文件。Ttyutils 的日志采用 syslog 函数记录,采用的 facility 为 LOG_LOCAL3,默认情况下,在 Linux 平台,所有消息将输出到 /var/log/messages 文件中,可以通过配置 /etc/syslog.conf 来重定向到一个单独的文件中,例如下面是一个例子 :
# Save ttyutils messages to ttyutils.log
local3.* /var/log/ttyutils.log
对于不支持 local3 作为 facility 的系统,可以采用下面的语法 :
# Save ttyutils messages to ttyutils.log
*.debug /var/log/syslog.out
Ttyutils 软件包的程序支持 --logfile 选项,它可以将日志重定向到一个指定的文件中。
一切就绪,下面开始一个简单的会话。
登录两个终端 A 和 B,在终端 A 的 shell 提示符下输入 :
$ ttyexec
$ tty
/dev/pts/3
其中“/dev/pts/3”是 tty 命令的输出,可能会是其它的名字,记住这个名字,然后在终端 B 输入:
$ ttylook --pts /dev/pts/3 -w
这时终端 A 的输出将会反应在终端 B,反之亦然。
其中,ttyexec 是监控程序,它的使用方法与 shell 中命令 exec 相似,被 ttyexec 启动的程序的输入输出将被 ttyexec 截获,如果没有参数,那么它会执行在 /etc/passwd 文件中为当前用户设置的 shell 程序。
当通过 ttyexec 在终端 A 监控了一个程序之后,ttyexec 自身不会记录任何关于会话的标准输入输出信息到某个文件或者其它地方,如果用户想查看被监控的程序的标准输出,需要使用在另外一个终端 B 上使用 ttylook 连接到那个 ttyexec,当连接建立以后,ttyexec 就会将截获的数据发送给 ttylook,而 ttylook 则将这些数据输出到终端 B 上。这个时候,终端 B 的屏幕和终端 A 的屏幕将会一样,并且如果不断开连接,将会实时的保持同步。这就相当于两个终端共享了一个用户会话。因为 ttyexec 支持多个 ttylook 连接,也就是说可以三个,四个,或者更多个终端共享同一个用户会话。
ttyadmin 是用于管理当前系统中运行的 ttyexec 进程的工具,对于熟悉 Ttyutils 的用户,它提供了一些很有用的功能。
[2] [3] [4] [5] 下一页
- 最新评论