简介
通常一台服务器都会开放权限给运维,开发等用户。随着服务器台数增长,用户交接/离职等,服务器的管理及安全也就成为一个重要的课题。如员工离职在服务器上留后门或恶意代码,这样的场景如何追踪该员工?
没错,可以借用键盘按键记录器。本文主要介绍如何通过logkeys来记录用户按键记录。
安装
sudo apt-get install logkeys
配置
获取键盘event信息
cat /proc/bus/input/devices
作者的电脑是thinkpad x201i笔记本,信息如下
I: Bus=0011 Vendor=0001 Product=0001 Version=ab54
N: Name="AT Translated Set 2 keyboard"
P: Phys=isa0060/serio0/input0
S: Sysfs=/devices/platform/i8042/serio0/input/input3
U: Uniq=
H: Handlers=sysrq kbd event3 leds
B: PROP=0
B: EV=120013
B: KEY=402000000 3803078f800d001 feffffdfffefffff fffffffffffffffe
B: MSC=10
B: LED=7
其中的H: Handlers=sysrq kbd event3 leds 这行中的event3就是event的号码了。
键盘对应的keymap设置
- 安装console-data
sudo apt-get install console-data
- 选择对应的keymap
- 选择错时,重新配置keymap
sudo dpkg-reconfigure console-data
控制台键盘设置
- 查看当前键盘设置
System Locale: LANG=en_US.UTF-8
...
VC Keymap: n/a
X11 Layout: n/a
X11 Model: pc105
- 查看当前系统支持的keymaps
find /usr/share/keymaps/ -type f
- 加载对应的keymap
sudo loadkeys us //us可以替换成其它对应的
使用logkeys
启动程序
sudo logkeys -s -o ~/logtest.txt -d /dev/input/event3
- -s start
- -o 日志数据输出到文件
- d 输入设备的信息
输入设备的信息 由前面介绍的命令 cat /proc/bus/input/devices 获取。
停止程序
sudo logkeys -k
效果图
