PAMSC: キーボードロガーの有効化と使い方について
Article ID: 376630
Updated On:
Products
CA Privileged Access Manager - Server Control (PAMSC)
CA Privileged Identity Management Endpoint (PIM)
Issue/Introduction
Privileged Identity Manager ( 以下、PIM) または Privileged Access Manager Server Control ( 以下、 PAMSC) の Linux/UNIX 版が導入されたサーバでキーボードロガーを使用するための設定を解説します。
Environment
Privileged Identity Manager: Linux/UNIX 版の全バージョン
Privileged Access Manager Server Control: Linux/UNIX 版の全バージョン
Resolution
最初にキーボードロガーを有効化します。
- seos.ini の [kblaudit] セクションで、以下のトークンを設定します。
( 値を反映させるためには seosd の再起動が必要です。)
kbl_enabled = yes - selang から、キーボードロガーを設定したいユーザの設定を行います。
AC> exu <user_name> audit(interactive) - 設定したユーザで再度ログインし、コマンドを実行します。
内容を確認するには以下のように実行します。
- 監査権限を持つユーザで実行します。
# seaudit -kbl
DD MMM YYYY hh:mm:ss P LOGIN <user_name> 709 12 XX.XX.XX cmdlog
... - 1 の結果からセッションIDを取得します。( 本例では 709 が返されたとします。)
- 実際に保存されたコマンドラインを表示します。
# seaudit -kbl -sid 709 -pr
注: 後で使用するためにログインシェルに追加するためには以下の手順に従ってください。
- /etc/shells に記載されたプログラムがシンボリックリンクではなく、実際のプログラムを参照していることを確認してください。
...
/bin/ksh93
... - ユーザプロファイルでログインシェルに指定されているのが実際のプログラムであることを確認してください。
AC> exu <user_name> audit(interactive) unix(shellprog(/bin/ksh93)) - カーネルモジュールの再ロードと sebuildla の再実行を行ってください。
# secons -sk
# SEOS_load -u
# seload
# sebuildla -a
Additional Information
注:
- こちらで提供されるキーボードロガーは 全てのキー入力を記録するものではありません。
対話型シェルに渡される文字列だけが kbl.audit ファイルに記録されます。 - 以下のシェルのみがサポートされます: bash, tcsh, csh, ksh, jsh, rsh, ash, zsh
/etc/shells に正しく登録されていることをご確認ください。
( もし、問題があれば上記に沿って設定をご確認ください。 ) - 以下のKBの文書も併せてご確認ください。
PAMSC: キーロギング監査ログファイルを収集デーモンまたはsyslogに転送可能か?
key logger not record entered commands
なお、本KBは以下の英文 KB を翻訳し補足しました。
Article ID: 100271: How to Enable and Use the Keyboard Logger
Feedback
Yes
No
Powered by
