Установка агента для Linux

Linux агент находится в стадии активного развития, и предназначен для любых linux-систем. Проверка работоспособности проводилась для следующих ОС:

• CentOS;

• Ubuntu;

• Debian;

• Astra linux;

• РЕД ОС 7.2, 7.3;

• Arch linux;

• Rosa linux;

• AltLinux 8.2;

• Linux Mint.

Поддерживаемый функционал

• Управление агентом через конфигурацию в веб-консоли Staffcop.

• Скриншоты по интервалу.

• Скриншоты по активности (по переключению/смене заголовка окна).

• Степень компрессии и формат скриншотов.

• Атрибуты приложений - имена окон и иконки.

• Подсчёт времени работы в приложениях.

• Кейлоггер.

• События подключения USB устройств.

• Блокировка USB устройств (белые и черные списки)

• События локального или удалённого входа/выхода из системы (включая ssh подключения).

• История ввода терминальных команд.

• Перехват печати на принтере (CUPS).

• Удаленное управление.

• Запись видео рабочего стола.

• История и время посещения сайтов в Firefox, Chrome и Vivaldi.

• Содержимое буфера обмена.

• Интеграция с Astra Linux.

• Функции управления агентом в командной строке.

• Слежение за системными лог-файлами c управлением правилами мониторинга через конфиг агента.

• Запись звука с подключенных микрофонов.

• Альтернативный модуль кейлоггера, поддерживающий работу вне X Windows.

• Модуль перехвата снимков с веб-камеры (включая Astra-Linux);

• Файловые операции: Определение действий с файлами, поддержка правил мониторинга (черный/белый списки контроля).

• Теневые копии файлов при перехвате файловых операций.

• Блокировка сайтов.

• Перехват терминальных linux-сессий в виде gif-файла.

• Поддержка SNAP-пакетов браузеров.

• Перехват писем из популярных почтовых клиентов на основе движка «akonadi».

• Перехват Telegram.

• Доступ к веб-камерам на компьютерах.

Установка агента

Скачать его можно так же, как и агента для Windows.

Для установки - скачайте файл агента на целевую машину, действия на которой будут отслеживаться, и выполните команду

sudo bash agent-install.sh 192.168.1.134 443

Выполняйте эту команду из директории с файлом агента или пропишите полный путь у к нему. В качестве первого аргумента (192.168.1.134 в примере) задать IP-адрес своего сервера StaffCop.

Примечание

Команда sudo используется в Ubuntu. Для других операционных систем команда может отличаться.

Для полноценной работы агента требуется отключить SELinux, в противном случае появиться предупреждение как на картинке и не будет работать модули: перехват печати, файловые операции, перехват сетевого трафика.

Предупреждение

При запуске обновления агента Linux, установщик удаляет все файлы агента. Для корректного обновления на новую версию, агента необходимо устанавливать по новой после перезагрузки.

Дополнительный адрес сервера

Начиная с версии агента 0.8.0-master имеется возможность указать допольнительные сервера для передачи событий. Данная опция работает только, если недоступен основной сервер.

1. Открываем файл scela

sudo nano /etc/scelarc

2. Добавляем адрес резервного сервера после строки server, если необходимо изменить порт, то добавляем значение port2.

server2 = 192.168.0.3
port2 = 4334

Примечание

Если не указывать порт, то будет равен значению по умолчанию. В нашем случае - это 443 порт.

Настройка перехвата печати

Настройте конфигурацию ПК, включив следующие опции:

• «Файлы» - «Теневое копирование».

• «Принтеры» - «Печать на принтерах».

Если перехват почты не осуществляется, то рекомендуем установить libmagic - библиотеку для определения Content-Type файлов. Рекомендуем перезагрузить ПК после установки.

sudo apt-get install libmagic-dev

В версии агента 0.11.0-master была добавлена поддержка совместной работы с AppArmor. В версиях ниже требуется отключить AppArmor на рабочей станции с агентом. Рекомендуем перезагрузить ПК после установки.

sudo systemctl disable apparmor

Настройка перехвата писем в локальных клиентах

Для отслеживания доступны клиенты Thunderbird, Evolution, Geary, а так же клиенты завязанные на фреймворке Akonadi (Kmail, Gmail…). Для последних не был найден способ получения информации об используемом клиенте, поэтому имя приложения для события указано как Akonadi. Также перехватываются вложения.

Для включения перехвата почты нужно включить «Почта и мессенджеры -> Электронная почта».

Для перехвата вложений нужно включить «Файлы -> Теневое копирование» и настроить размер файлов в «Файлы -> Выполнять теневые копии для файлов не более:».

Команды для агента

Запуск, остановка, перезагрузка агента

sudo /usr/share/staff/agent [start|stop|restart]

PID процесса агента

sudo /usr/share/staff/agent status

Информация по агенту

sudo /usr/share/staff/agent info

Удаление агента

sudo /usr/share/staff/agent uninstall

Смена HWID агента

sudo /usr/share/staff/agent hwid

Печать текущего используемого конфига

sudo /usr/share/staff/agent config

Создание архива с логами агента

sudo /usr/share/staff/agent zip

Лог за день, логи за месяц

sudo /usr/share/staff/agent [log|logs]

Отображение лога агента в режиме реального времени

sudo /usr/share/staff/agent tail

Удаление

Выполните команду:

sudo bash agent-install.sh uninstall

Обновление агента

Linux-агент начиная с версии - 0.7.46 поддерживает функцию автоматического обновления до новой версии Linux-агента по команде с сервера.

Для запуска автоматического обновления агента до последнений версии находящейся на сервере, нужно будет открыть

«Панель управления - Компьютеры» и выбрать нужный компьютер, затем в меню - «Выполнить действие» выбрать пункт «Обновить до последней версии».

После этого агент через 30 секунд обновится до последней версии имеющейся на сервере.

Массовая установка через ansible

Плэйбук для ansible находится в тестовом режиме. IP-адрес своего хоста нужно прописать в нём вручную.

---
- hosts: localhost
  sudo: no
  tasks:

    - name: download agent for linux
      get_url:
        url: http://distr.staffcop.su/agent-install.sh
        dest: /tmp/agent_installer.sh

- hosts: all
  sudo: yes
  tasks:

    - name: install agent for remote host
      script: /tmp/agent_installer.sh 192.168.1.134 443