Red Hat Training

A Red Hat training course is available for RHEL 8

第 1 章 RHEL 的 Session Recording 入门

1.1. RHEL 的 Session Recording(会话记录)

本节介绍了 Session Recording 解决方案及其目的。

Session Recording 的解决方案在 Red Hat Enterprise Linux 8 中提供,它基于 tlog 软件包。tlog 软件包及其关联的 Web 控制台会话播放器为您提供了记录和回放用户终端会话的能力。您可以将记录配置为通过 SSSD 服务为每个用户或用户组进行。所有终端输入和输出都会捕获并保存在系统日志中基于文本的格式。

重要

默认关闭终端输入记录,使其不会截获原始密码和其他敏感信息。请注意,如果您在终端输入中启用了记录功能,所有输入的密码都会以明文显示。

这个功能可用于审核对安全敏感系统的用户会话,或者在出现安全问题时,检查记录的会话作为分析的一部分。系统管理员可以在 RHEL 8 系统中本地配置会话记录。您可以使用 tlog-play 命令从 web 控制台界面或终端查看记录的会话。

1.2. 会话记录的内容

Session Recording 解决方案包括三个主要组件。tlog 工具、SSSD 服务以及 Web 控制台嵌入的用户界面。

tlog

tlog 工具是一个终端输入/输出(I/O)记录和回放程序。它会在用户终端和用户 shell 间插入其自身(特别是 tlog-rec-session 工具),并记录作为 JSON 信息传递的所有内容。

SSSD

系统安全性服务守护进程(SSSD)服务提供一组管理远程目录访问和验证机制的守护进程。配置会话记录时,您可以使用 SSSD 指定哪些用户或用户组应该 tlog 记录。这可以通过命令行界面(CLI)或者 RHEL 8 web 控制台界面完成。

RHEL 8 web 控制台嵌入的界面

Session Recording 页面是 RHEL 8 web 控制台界面的一部分。内嵌的 Session Recording 的 web 控制台界面可让您管理记录的会话。

重要

您必须具有管理员特权才能访问记录的会话。

1.3. 会话记录的限制

在本节中,我们将列出 Session Recording 解决方案中最重要的限制。

  • 请注意, tlog 没有记录 Gnome 3 图形会话中的终端。不支持在图形会话中记录终端,因为图形会话具有所有终端的单一审计会话 ID, tlog 无法区分不同的终端并防止重复记录。
  • 当将 tlog 记录配置为记录到 journal/syslog 目录时,记录的用户会看到查看系统日志或 /var/log/messages 的操作结果。因为查看会生成日志,然后再在屏幕中打印,从而导致 Session Recording 记录这个动作。这会产生更多记录,并导致大量的输出。

    您可以使用以下命令来解决这个问题:

    # journalctl -f | grep -v 'tlog-rec-session'

    您还可以配置 tlog 来限制输出。详情请查看'tlog-rec' 或 tlog-rec-session 手册页。