Агент для Linux

Системные требования

Агент поддерживает работу linux-систем с версиями glibc - 2.23+ и kernel - 4.15+. Запуск агента на более низких версиях возможен, но не гарантируется. Список дистрибутивов, на которых проводилось опробование агента, представлен на странице с системными требованиями.

При несовместимости отдельных компонентов агента с операционной системой, функционал агента сократится без потери общей работоспособности.

Начиная с версии 0.12.0, Linux-агент поддерживает архитектуры i686, х86_64 и arm64.

Примечание

Для полноценной работы Linux-агента на платформе arm64 убедитесь, что в системе присутствует функция CONFIG_FANOTIFY_ACCESS_PERMISSIONS:

grep "CONFIG_FANOTIFY" /boot/config*

CONFIG_FANOTIFY=y
CONFIG_FANOTIFY_ACCESS_PERMISSIONS=y

Возможности Linux-агента

Linux-агент поддерживает:

  • управление агентом через конфигурацию в веб-консоли Staffcop;

  • создание скриншотов с заданным интервалом времени;

  • создание скриншотов в зависимости от активности пользователя (по переключению окна или смене заголовка окна);

  • изменение формата и степени сжатия скриншотов;

  • атрибуты приложений - имена окон и иконки;

  • учёт времени работы в приложениях;

  • кейлоггер (X11 и низкоуровневый);

  • учёт подключения USB-устройств;

  • возможность блокировки USB-устройств (создание белых и чёрных списков);

  • события локального или удалённого входа и выхода из системы (включая ssh подключения);

  • запись истории ввода команд shell (bash, zsh);

  • перехват печати на принтере (CUPS);

  • удаленное управление;

  • запись видео рабочего стола;

  • запись истории и времени посещений сайтов в Firefox, Chrome и Vivaldi;

  • отслеживание содержимого буфера обмена;

  • функции управления агентом в командной строке;

  • отслежвание системных логов и управление правилами мониторинга через конфиг агента;

  • запись звука с подключенных микрофонов;

  • модуль перехвата снимков с веб-камеры;

  • файловые операции: определение действий с файлами, поддержка правил мониторинга (черный и белый списки контроля);

  • создание теневых копий файлов при перехвате файловых операций;

  • возможность блокировки сайтов;

  • перехват shell-сессий в виде текста или gif-файла;

  • поддержка SNAP-пакетов браузеров;

  • перехват писем из почтовых клиентов Thunderbird, Akonadi, Evolution, Geary, Р7-Офис.Органайзер;

  • перехват Telegram;

  • перехват веб-почты VK;

  • доступ к веб-камерам на компьютерах;

  • DLP-модуль;

  • файловый сканер;

  • поддержка STARTTLS;

  • сетевой перехват исходящих сессий tcp и ssl/tls;

  • сетевой перехват отправки почты SMTP;

  • сетевой перехват почты IMAP;

  • пакет распространения для менеджера пакетов Portage в Gentoo.

Установка агента

  1. Скачайте скрипт для установки агента: в разделе «Панель управления - Компьютеры - Скачать агент» выберите версию для Linux.

Примечание

При скачивании, к имени скрипта автоматически добавляется IP-адрес машины, на которую он скачивается (как правило - адрес сервера).

  1. Скопируйте скрипт на целевую машину:

wget http://10.10.0.1/agent-install-[10.10.0.1].sh

Здесь 10.10.0.1 - пример IP-адреса сервера.

  1. Запустите установщик:

sudo bash /path/to/agent-install-[10.10.0.1].sh 10.10.0.1

Здесь /path/to/agent-install-[10.10.0.1].sh - полный путь к скрипту и его имя; 10.10.0.1 - IP-адрес сервера Staffcop, куда будет передавать данные устанавливаемый агент.

Примечание

По умолчанию, для связи агента с сервером используется порт 443. Его можно не указывать в команде установки агента. Если порт связи агента с севером был изменён, укажите его в команде установки агента:

sudo bash /path/to/agent-install-[10.10.0.1].sh 10.10.0.1 new_port

Здесь new_port - новый номер порта.

Предупреждение

Для полноценной работы агента отключите SELinux.

После установки агента, перезагрузите машину.

Дополнительный адрес сервера

Начиная с версии агента 0.8.0-master для передачи событий можно указывать дополнительные сервера, которые будут использоваться, если основной сервер будет недоступен.

Чтобы указать дополнительный сервер:

  1. Откройте файл scela

sudo nano /etc/scelarc

  1. Добавьте адрес и порт резервного сервера после строки server:

server2 = 192.168.0.3
port2 = 4334

Если не указать номер порта, по умолчанию будет использован 443.

Настройка агента

Перехват печати

Для перехвата печати:

  1. В разделе Панель управления - Конфигурации компьютеров выберите машину, на которой хотите включить перехват.

  2. В открывшемся окне настроек включите опцию Файлы - Теневое копирование.

  3. Включите опцию Принтеры - Печать на принтерах.

Опция Автоматически настраивать все принтеры на печать через спулер позволит перехватывать задания на печать по имени печатаемого файла. Для полноценной работы этой опции установите libmagic - библиотеку для определения Content-Type файлов:

sudo apt-get install libmagic-dev

После установки библиотеки, перезагрузите ПК.

Сетевой перехват почты IMAP4/SMTP

Чтобы настроить перехват почты:

  1. В разделе Панель управления - Конфигурации компьютеров выберите машину, на которой хотите включить перехват.

  2. В открывшемся окне с настройками в разделе Сетевые подключения включите опцию Мониторинг сети.

  3. В разделе Почта и мессенджеры выберите Электронная почта.

Примечание

Для версий агента 0.11.0-master и выше, добавлена поддержка совместной работы с AppArmor. Для версий ниже 0.11.0-master отключите AppArmor на рабочей станции с агентом:

sudo systemctl disable apparmor

Для перехвата вложений, дополнительно включите Файлы - Теневое копирование и укажите размер файлов в окне Выполнять теневые копии для файлов не более:.

Перехват писем в локальных клиентах

Отслеживание почты и перехват вложений доступны для Thunderbird, Evolution, Geary и клиентов, завязанных на фреймворке Akonadi (Kmail, Gmail…). Для клиентов на Akonadi имя приложения для события указано как Akonadi.

Для перехвата почты:

  1. В разделе Панель управления - Конфигурации компьютеров выберите машину.

  2. В разделе Почта и мессенджеры включите опцию Электронная почта MAPI.

Для перехвата вложений, дополнительно включите Файлы - Теневое копирование и укажите размер файлов в окне Выполнять теневые копии для файлов не более:.

Файловая активность

Для отслеживания файловых операций и создания теневых копий файлов, включите соответствующие правила в настройках агента в разделе Файлы.

Команды для работы с агентом

Действие

Команда

Установка агента

 
sudo bash /path_to_agent/agent-install-version.sh install

Установка агента со сменой hwid
(доступна с версии 0.12.34-august)

 
sudo bash /path_to_agent/agent-install-0.12.34-august.sh install --hwid new_hwid

Запуск агента

 
sudo /usr/share/staff/agent start

Остановка агента

 
sudo /usr/share/staff/agent stop

Перезапуск агента

 
sudo /usr/share/staff/agent restart

PID процесса агента

 
sudo /usr/share/staff/agent status

Информация об агенте

 
sudo /usr/share/staff/agent info

Удаление агента

 
sudo /usr/share/staff/agent uninstall

Смена HWID агента

 
sudo /usr/share/staff/agent hwid

Текущая конфигурация

 
sudo /usr/share/staff/agent config

Создание архива
с логами агента

 
sudo /usr/share/staff/agent zip

Вывод логов за день 

sudo /usr/share/staff/agent log

Вывод логов за месяц 

sudo /usr/share/staff/agent logs

Лог в реальном времени

 
sudo /usr/share/staff/agent tail

Удаление агента

Удалить агента можно несколькими способами:

  • с машины, на которой установлен агент, выполнить команду:

    sudo /usr/share/staff/agent uninstall

  • с машины, на которой установлен агент, обратиться к установщику:

    sudo bash agent-install.sh uninstall

  • запросить удаление агента из веб-интерфейса сервера.

Обновление агента

Начиная с версии 0.7.46, Linux-агент поддерживает функцию обновления до новой версии по команде с сервера.

Чтобы обновить агент:

  1. В разделе Панель управления - Компьютеры выберите нужный компьютер.

  2. Выполнить действие выберите Обновить до последней версии.

Агент обновится до последней, находящейся на сервере, версии.