strace 追踪ssh的进程ID,记录操作的命令[实际上是内核里面记录的东西],进行操作日志的Py解析达到效果。

修改ssh源码添加访问标志位

源码下载:【本文示例:openssh-7.4p1.tar.gz】

https://cloudflare.cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/

导入工程到PyCharm

ssh.c

在ubuntu上安装openssl dev组件 

 sudo apt-get install zlib1g

 sudo apt-get install zlib1g-dev

 sudo apt-get install libssl-dev

上传软件包到Ubuntu并解压:  

unzip openssh-7.4p1.zip

  cd src/openssh-7.4p1/

chmod 750 ./mkinstalldirs

chmod 7500 ./configure

  sudo ./configure --prefix=/usr/local/openssh7/

sudo make && sudo make install    【make clean 可以清除上次的编译结果】

登录成功 

omc@omc-virtual-machine:~/CityHunter$ python3 user_enterpoint.py

audit.py 

#_*_coding:utf-8_*_

import re

class AuditLogHandler(object):

    '''分析audit log日志'''

    def __init__(self, log_file):

        self.log_file_obj = self._get_file(log_file)

    def _get_file(self,log_file):

        return open(log_file)

    def parse(self):

        cmd_list = []

        cmd_str = ''

        catch_write5_flag = False #for tab complication

        for line in self.log_file_obj:

            #print(line.split())

            line = line.split()

            try:

                pid,time_clock,io_call,char = line[0:4]

                if io_call.startswith('write(9'):

                    if char == '"\\177",':#回退

                        char = '[1<-del]'

                    if char == '"\\33OB",': #vim中下箭头

                        char = '[down 1]'

                    if char == '"\\33OA",': #vim中下箭头

                        char = '[up 1]'

                    if char == '"\\33OC",': #vim中右移

                        char = '[->1]'

                    if char == '"\\33OD",': #vim中左移

                        char = '[1<-]'

                    if char == '"\33[2;2R",': #进入vim模式

                        continue

                    if char == '"\\33[>1;95;0c",':  # 进入vim模式

                        char = '[----enter vim mode-----]'

                    if char == '"\\33[A",': #命令行向上箭头

                        char = '[up 1]'

                        catch_write5_flag = True #取到向上按键拿到的历史命令

                    if char == '"\\33[B",':  # 命令行向上箭头

                        char = '[down 1]'

                        catch_write5_flag = True  # 取到向下按键拿到的历史命令

                    if char == '"\\33[C",':  # 命令行向右移动1位

                        char = '[->1]'

                    if char == '"\\33[D",':  # 命令行向左移动1位

                        char = '[1<-]'

                    cmd_str += char.strip('"",')

                    if char == '"\\t",':

                        catch_write5_flag = True

                        continue

                    if char == '"\\r",':

                        cmd_list.append([time_clock,cmd_str])

                        cmd_str = ''  # 重置

                    if char == '"':#space

                        cmd_str += ' '

                if catch_write5_flag:  # to catch tab completion

                    if io_call.startswith('write(5'):

                        if io_call == '"\7",':  # 空键,不是空格,是回退不了就是这个键

                            pass

                        else:

                            cmd_str += char.strip('"",')

                        catch_write5_flag = False

            except ValueError as e:

                print("\033[031;1mSession log record err,please contact your IT admin,\033[0m",e)

        #print(cmd_list)

        for cmd in cmd_list:

            print(cmd)

        # return cmd_list

if __name__ == "__main__":

    parser = AuditLogHandler('ssh.log')

    parser.parse()

追踪进程并写入ssh操作到文件中

Ps: 此时机器A已经ssh登录了机器B,这里的2087就是它的ssh进程PID

机器A登录后的操作命令就记录在了ssh.log文件中了 

omc@omc-virtual-machine:~$ sudo strace -f -p 2087 -ttt -o /home/omc/ssh.log

追踪到的ssh操作文件的解析: 

omc@omc-virtual-machine:~/CityHunter/backend$ cd /home/omc/CityHunter/backend

omc@omc-virtual-machine:~/CityHunter/backend$ vim audit.py

omc@omc-virtual-machine:~/CityHunter/backend$ cp /home/omc/ssh.log ./  [复制文件到当前目录]

omc@omc-virtual-machine:~/CityHunter/backend$ python3 audit.py

审计系统---堡垒机项目之strace追踪ssh的更多相关文章

  1. 审计系统---堡垒机项目之用户交互+session日志写入数据库[完整版]

    2018-06-20 时隔一个多月,忘记了之前的所有操作,重拾起来还是听不容易的,想过放弃,但还是想坚持一下,加油. 世界杯今天葡萄牙1:0战胜摩洛哥,C 罗的一个头球拯救了时间,目前有4个射球,居2 ...

  2. 审计系统---堡垒机python下ssh的使用

    堡垒机python下ssh的使用 [堡垒机更多参考]http://www.cnblogs.com/alex3714/articles/5286889.html [paramiko的Demo实例]htt ...

  3. (转)用Python写堡垒机项目

    原文:https://blog.csdn.net/ywq935/article/details/78816860 前言 堡垒机是一种运维安全审计系统.主要的功能是对运维人员的运维操作进行审计和权限控制 ...

  4. 一个100%Go语言的Web-Term-SSH 堡垒机项目

    SSH-Fortress 1. What does it do? Make your cluster servers be more safe by expose your SSH connectio ...

  5. 审计系统---初识堡垒机180501【all】

    堡垒机背景[审计系统] SRE是指Site Reliability Engineer (/运维工程师=运行维护 业务系统) 运维: 维护系统,维护业务,跟业务去走 防火墙: 禁止不必要的访问[直接访问 ...

  6. Python 13 简单项目-堡垒机

    本节内容 项目实战:运维堡垒机开发 前景介绍 到目前为止,很多公司对堡垒机依然不太感冒,其实是没有充分认识到堡垒机在IT管理中的重要作用的,很多人觉得,堡垒机就是跳板机,其实这个认识是不全面的,跳板功 ...

  7. 主机管理+堡垒机系统开发:webssh(十)

    一.安装shellinabox 1.安装依赖工具 yum install git openssl-devel pam-devel zlib-devel autoconf automake libtoo ...

  8. day11 堡垒机

    项目实战:运维堡垒机开发 前景介绍 到目前为止,很多公司对堡垒机依然不太感冒,其实是没有充分认识到堡垒机在IT管理中的重要作用的,很多人觉得,堡垒机就是跳板机,其实这个认识是不全面的,跳板功能只是堡垒 ...

  9. Python之路,Day12 - 那就做个堡垒机吧

    Python之路,Day12 - 那就做个堡垒机吧   本节内容 项目实战:运维堡垒机开发 前景介绍 到目前为止,很多公司对堡垒机依然不太感冒,其实是没有充分认识到堡垒机在IT管理中的重要作用的,很多 ...

随机推荐

  1. Linux系统(X64)7 安装Oracle11g完整安装图文教程另附基本操作

    在linux 7.6 安装 oracle 11g    mount 挂载yum源 yum –y sys*  gcc*  lib* sys* ma* un* gli* elf* bin* com*   ...

  2. python中的IO模块

    1.简介 读写文件是常见的IO操作,python内置了读写文本的函数. 读写文件的模式描述如下: 模式 描述 r 以只读方式打开文件.文件的指针将会放在文件的开头.这是默认模式. rb 以二进制格式打 ...

  3. 第2天【OS Linux发行版介绍、Linux系统基础使用入门、Linux命令帮助、Linux基础命令】

    Logout    退出系统 Gedit     文本编辑器工具 Uname –r 查看内核版本信息,uname –a 比较详细 Cat /proc/cpuinfo      查看CPU Cat /p ...

  4. ubuntu 调节音量命令 声卡驱动

    alsamixer 安装驱动http://www.realtek.com/downloads/downloadsCheck.aspx?Langid=1&PNid=24&PFid=24& ...

  5. composer install Your requirements could not be resolved to an installable set of packages

    composer install --ignore-platform-reqs 或者 composer update --ignore-platform-reqs

  6. mysql如何让自增id从某个位置开始设置方法

    一般情况下两种方式: 1.本地数据不需要的情况下直接情况表(尽量不使用

  7. Java Web(三) Servlet会话管理

    会话跟踪 什么是会话? 可简单理解为,用户打开一个浏览器,点击多个超链接,访问服务器多个web资源,然后关闭服务器,整个过程称为一个会话.从特定客户端到服务器的一系列请求称为会话.记录会话信息的技术称 ...

  8. 逆袭之旅DAY15.东软实训.Oracle.约束、序列、视图、索引、用户管理、角色

    2018-07-11  08:26:00 有某个学生运动会比赛信息的数据库,保存了如下的表: 运动员sporter表:(运动员编号sporterid,运动员姓名name,运动员性别sex,所属系dep ...

  9. laravel中当使用Elquent ORM中的模型作为参数进行传递时的方法:

    Controller中的函数: /* $modelArg:是调用模型的路径,以字符串的形式传递过来. $id:要查询当前模型的id号. $args:具体查询的字段 */ public function ...

  10. Win10系列:UWP界面布局基础8

    路由事件 XAML不仅继承了传统的事件处理方式,还引入了一个增强型事件处理机制:路由事件(RoutedEvent).路由事件和传统事件的不同是:路由事件允许一个对象触发事件后,可以同时拥有多个事件接收 ...