Linux无内置特权会话录像功能,需组合script(轻量录制)、Tlog(生产级结构化审计)、asciinema(高保真分享)实现操作留痕,并通过权限控制、完整性校验与sudo日志联动保障可信性。
Linux 本身不提供开箱即用的特权会话录像功能,但可通过组合工具实现完整、可验证、可回放的操作留痕。核心不是“录屏”,而是捕获输入输出流 + 明确操作主体 + 保障日志可信。重点在于谁、何时、以什么权限、执行了哪些命令,以及能否真实还原交互过程。
script 是最轻量、系统自带的方案,适合快速启用和简单审计场景:
script -t 2> timing.log session.log(-t 记录时间偏移,2> 将时序数据重定向到 timing.log)sudo systemctl restart nginx 或 vi /etc/hosts),所有终端交互实时写入 session.logexit 或 Ctrl+D,生成两个文件scriptreplay timing.log session.log,按原始节奏还原,支持 -d 2 加速或 -d 0.5 放慢注意:script 对 vim、htop 等全屏应用支持有限,仅记录字符流,不保留颜色与光标精确定位。
Tlog 专为安全审计设计,能无缝集成 SSH 登录流程,自动记录 root 权限操作,并输出结构化日志:
/etc/ssh/sshd_config 中添加 ForceCommand /usr/bin/tlog-rec-session,重启 sshd/etc/tlog/conf.d/10-output.conf,指定 JSON 格式输出,例如:{"output": {"type": "file", "path": "/var/log/tlog/%Y-%m-%d-%H-%u.json"}}
sudo mkdir -p /var/log/tlog && sudo chmod 0700 /var/log/tlog
sudo tlog-play -u alice --from '2026-06-12T09:00',支持按用户、时间、命令关键词检索当需要演示、复盘或跨团队协作审计时,asciinema 提供更直观体验:
curl -sL https://asciinema.org/install | sh(或 apt/yum install)asciinema rec -c "sudo -i" /var/log/audit/priv_john_$(date +%s).json
asciinema play priv_john_1718185800.json
asciinema upload priv_john_1718185800.json,获得可嵌入网页的播放链接录像文件本身是审计证据,必须防篡改、限访问、可校验:
/var/log/audit/ 或 /var/log/tlog/)设为 700,属主 root,禁止普通用户读写aide 或 tripwire 定期扫描录像文件哈希值,异常变动立即告警tlog_alice_20260612_1025_server-prod.json),便于与 sudo 日志交叉关联/etc/sudoers 启用 Defaults logfile="/var/log/sudo.log",确保提权行为有独立日志锚点