获取ubuntu键盘按键记录

简介

通常一台服务器都会开放权限给运维,开发等用户。随着服务器台数增长,用户交接/离职等,服务器的管理及安全也就成为一个重要的课题。如员工离职在服务器上留后门或恶意代码,这样的场景如何追踪该员工?
没错,可以借用键盘按键记录器。本文主要介绍如何通过logkeys来记录用户按键记录。

安装

sudo apt-get install logkeys

配置

获取键盘event信息
cat /proc/bus/input/devices

作者的电脑是thinkpad x201i笔记本,信息如下
I: Bus=0011 Vendor=0001 Product=0001 Version=ab54
N: Name="AT Translated Set 2 keyboard"
P: Phys=isa0060/serio0/input0
S: Sysfs=/devices/platform/i8042/serio0/input/input3
U: Uniq=
H: Handlers=sysrq kbd event3 leds 
B: PROP=0
B: EV=120013
B: KEY=402000000 3803078f800d001 feffffdfffefffff fffffffffffffffe
B: MSC=10
B: LED=7

其中的H: Handlers=sysrq kbd event3 leds 这行中的event3就是event的号码了。

键盘对应的keymap设置
  • 安装console-data
sudo apt-get install console-data
  • 选择对应的keymap
    keymap1
    keymap2
    keymap3

    • 选择错时,重新配置keymap
sudo dpkg-reconfigure console-data
控制台键盘设置
  • 查看当前键盘设置
   System Locale: LANG=en_US.UTF-8
                  ...
       VC Keymap: n/a
      X11 Layout: n/a
       X11 Model: pc105
  • 查看当前系统支持的keymaps
find /usr/share/keymaps/ -type f
  • 加载对应的keymap
sudo loadkeys us //us可以替换成其它对应的

使用logkeys

启动程序
sudo logkeys -s -o ~/logtest.txt -d /dev/input/event3
  • -s start
  • -o 日志数据输出到文件
  • d 输入设备的信息

输入设备的信息 由前面介绍的命令 cat /proc/bus/input/devices 获取。

停止程序
sudo logkeys -k

效果图

keylogs效果图

参考链接

https://qiita.com/wakaba130/items/8bd1e0b6437723eee379

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注