麒麟開源堡壘機除了錄相,還需要做操作辨認,首要的操作辨認功用包括:
ssh/telnet的操作指令辨認
ftp/sftp 的操作指令辨認
rdp/vnc/x11 的翻開視窗title辨認
rdp/vnc/x11 視窗中的文字辨認
rdp 剪下版內容辨認
rdp/vnc/x11 鍵盤記載
關於乙個只能錄相的開源堡壘機,其可用性是十分差的,由於開源堡壘機的審計功用首要用於事後,假如發生了內部運維事情,而且時刻點難以確定,審計員有必要面對海量的日誌進行辨認,由專人對每個會話自始至終看全部操作錄相。而操作過程往往是一瞬間的事,比方幾天的操作日誌也許有上千個小時,可是呈現疑問的操作也許只在幾秒鐘,這時的勞動強度和單調程度是相當大的,乙個人要從上千小時的錄相中找到幾秒種的有疑問的錄相,難度之大能夠想像。
也從前出過某電信後台資料庫被人刪除的疑問,那時系統的rdp辨認功用還沒有做,所以派專人,接連看了七天的日誌,最終才找到責任人。
因而,乙個開源堡壘機的好壞,不只是操作介面是不是漂亮、日誌報表是不是通用,最主要的標準是解析用是不是好,假如一但解析辨認做的到位,當出現問題時,能夠大大減小審計人員的精確程度,直接找到責任人。
開源堡壘機的操作辨認功用中,ftp/sftp的指令操作開發是最簡略的,由於指令本身在協議中有標,開發時只需解開ftp/sftp的協議流,能夠直接得到。
telnet/ssh的指令辨認是較難的功能,由於telnet/ssh關於指令在協議中是沒有標示的,和在屏上其它回顯相同,都是乙個乙個的字元,實踐開發中,很通在實踐回顯中找到哪個是指令,哪個是回顯,而鍵盤記載,只能對指令辨認有協助,並不能經過鍵盤記載來記載到指令,由於敲擊鍵盤的時候,使用者有也許在vi等行修正器中,這時操作的並不是指令而且一些檔案修正,另外現在的linux bash中有許多快捷鍵,比方指令能夠經過上翻找到,能夠用tab補齊,此外,運維人員在輸入指令的時候,用退格去修正等也會形成指令辨認無法經過鍵盤記載來完成,telnet/ssh的指令辨認,只能經過將鍵盤與回顯相關的方法辨認,程式在判別使用者鍵盤擊打次序的同時,判別回顯字元,當呈現回車的時候,將前面的所有鍵盤記載下來,而且在回顯中進行一些判別,就能夠精確的記載使用者操作的指令,這種形式,**程式還有必要判別的出使用者是不是在vi等修正器形式中,麒麟開源開源堡壘機體系的telnet/ssh指令辨認開發周期大約為2個月,後期做了許多的修正,現在指令辨認率達到了99.9%。
rdp/x11/vnc的視窗title辨認和視窗內部文字辨認,能夠說是乙個業界的難題,由於rdp全部顯示沒有字元,完全是經過gdi函式繪出,因而,即便解開了rdp的流,也無法從流中得到任何文字 ,由於全部是gdi函式繪出的圖形,麒麟開源開源堡壘機的rdp/x11/vnc視窗的辨認開發周期大約為4個月,現在現已能夠辨認出視窗標題和內部操作文字。
此外,rdp的鍵盤記載、剪下版記載也能夠在協議中辨認,鍵盤記載對比鍵盤,解開rdp協議即可得到剪下版雜亂些,由於觸及內部文字編碼辨認。
今後會在其它文章中詳細描述這些辨認技能的原理。
堡壘機 麒麟開源堡壘機銀行行業設計方案
1 文件說明 1.1 方案概述 隨著銀行範圍和營業網點的不斷延伸擴大,各類特色業務系統和基礎網路裝置隨之上線執行,切實有效的保障了各分行業務的穩定性 安全性和靈活性。但與此同時,隨著業務系統應用範圍越來越廣 資料越來越多,所需日常維護的系統和裝置也在日益增長,科技運維部門面臨的網路 系統安全穩定執行...
麒麟開源堡壘機開發環境 部署說明
一 部署說明 開發環境主要使用開發人員的pc 或筆記本終端進行開發,開發完成後,將 交付相應的負責人,負責人編譯測試後,將 上傳到 cvs備份,將程式上傳到生產環境使用。這種管理模式主要存在如下問題 1.對於第三方開發團隊很難做到 防止複製,難以防止生產用的 被第三方開發人員複製出去 2.缺少審計,...
麒麟開源堡壘機阿里雲雙機部署方案
麒麟開源 日 期 2016 6 22 目錄 1 概述 2 1.1 方案背景 2 1.2 方案內容 3 2.阿里雲 slb負載均衡方式 3 2.1 物理環境準備要求 3 2.2 阿里雲slb 設定 3 2.3 使用說明 3 3.dns 負載均衡方式 5 2.1 物理環境準備要求 5 2.2 dns 設...