Агент для Linux

Системные требования

Агент поддерживает работу linux-систем с версиями glibc - 2.23+ и kernel - 4.15+. Запуск агента на более низких версиях возможен, но не гарантируется. Список дистрибутивов, на которых проводилось опробование агента, представлен на странице с системными требованиями.

При несовместимости отдельных компонентов агента с операционной системой, функционал агента сократится без потери общей работоспособности.

Начиная с версии 0.12.0, Linux-агент поддерживает архитектуры i686, х86_64 и arm64.

Возможности Linux-агента

Linux-агент поддерживает:

  • управление агентом через конфигурацию в веб-консоли Staffcop;

  • создание скриншотов с заданным интервалом времени;

  • создание скриншотов в зависимости от активности пользователя (по переключению окна или смене заголовка окна);

  • изменение формата и степени сжатия скриншотов;

  • атрибуты приложений - имена окон и иконки;

  • учёт времени работы в приложениях;

  • кейлоггер (X11 и низкоуровневый);

  • учёт подключения USB-устройств;

  • возможность блокировки USB-устройств (создание белых и чёрных списков);

  • события локального или удалённого входа и выхода из системы (включая ssh подключения);

  • запись истории ввода команд shell (bash, zsh);

  • перехват печати на принтере (CUPS);

  • удаленное управление;

  • запись видео рабочего стола;

  • запись истории и времени посещений сайтов в Firefox, Chrome и Vivaldi;

  • отслеживание содержимого буфера обмена;

  • функции управления агентом в командной строке;

  • отслежвание системных логов и управление правилами мониторинга через конфиг агента;

  • запись звука с подключенных микрофонов;

  • модуль перехвата снимков с веб-камеры;

  • файловые операции: определение действий с файлами, поддержка правил мониторинга (черный и белый списки контроля);

  • создание теневых копий файлов при перехвате файловых операций;

  • возможность блокировки сайтов;

  • перехват shell-сессий в виде текста или gif-файла;

  • поддержка SNAP-пакетов браузеров;

  • перехват писем из почтовых клиентов Thunderbird, Akonadi, Evolution, Geary, Р7-Офис.Органайзер;

  • перехват Telegram;

  • доступ к веб-камерам на компьютерах;

  • DLP-модуль;

  • файловый сканер;

  • сетевой перехват исходящих сессий tcp и ssl/tls;

  • сетевой перехват отправки почты SMTP;

  • сетевой перехват почты IMAP;

  • пакет распространения для менеджера пакетов Portage в Gentoo.

Установка агента

  1. Скачайте установщик агента: в разделе «Панель управления - Компьютеры - Скачать агент» выберите версию для Linux.

  2. Скопируйте установщик на целевую машину.

  3. Запустите установщик:

sudo bash /path/to/agent-install.sh [ip-address] [port]

Здесь /path/to/agent-install.sh - полный путь к файлу установщика; [ip-address] - IP-адрес сервера Staffcop (указывайте в том случае, если собираетесь устанавливать сервер не на ту машину, куда скачали дистрибутив); [port] - порт для связи агента с сервером (если оставить параметр пустым, будет использован порт 443).

Примечание

Для полноценной работы агента отключите SELinux.

После установки агента, перезагрузите машину.

Дополнительный адрес сервера

Начиная с версии агента 0.8.0-master для передачи событий можно указывать дополнительные сервера, которые будут использоваться, если основной сервер будет недоступен.

Чтобы указать дополнительный сервер:

  1. Откройте файл scela

sudo nano /etc/scelarc
  1. Добавьте адрес и порт резервного сервера после строки server:

server2 = 192.168.0.3
port2 = 4334

Если не указать номер порта, по умолчанию будет использован 443.

Настройка агента

Перехват печати

Для перехвата печати:

  1. В разделе Панель управления - Конфигурации компьютеров выберите машину, на которой хотите включить перехват.

  2. В открывшемся окне настроек включите опцию Файлы - Теневое копирование.

  3. Включите опцию Принтеры - Печать на принтерах.

Опция Автоматически настраивать все принтеры на печать через спулер позволит перехватывать задания на печать по имени печатаемого файла. Для полноценной работы этой опции установите libmagic - библиотеку для определения Content-Type файлов:

sudo apt-get install libmagic-dev

После установки библиотеки, перезагрузите ПК.

Сетевой перехват почты IMAP4/SMTP

Чтобы настроить перехват почты:

  1. В разделе Панель управления - Конфигурации компьютеров выберите машину, на которой хотите включить перехват.

  2. В открывшемся окне с настройками в разделе Сетевые подключения включите опцию Мониторинг сети.

  3. В разделе Почта и мессенджеры выберите Электронная почта.

Примечание

Для версий агента 0.11.0-master и выше, добавлена поддержка совместной работы с AppArmor. Для версий ниже 0.11.0-master отключите AppArmor на рабочей станции с агентом:

sudo systemctl disable apparmor

Для перехвата вложений, дополнительно включите Файлы - Теневое копирование и укажите размер файлов в окне Выполнять теневые копии для файлов не более:.

Перехват писем в локальных клиентах

Отслеживание почты и перехват вложений доступны для Thunderbird, Evolution, Geary и клиентов, завязанных на фреймворке Akonadi (Kmail, Gmail…). Для клиентов на Akonadi имя приложения для события указано как Akonadi.

Для перехвата почты:

  1. В разделе Панель управления - Конфигурации компьютеров выберите машину.

  2. В разделе Почта и мессенджеры включите опцию Электронная почта MAPI.

Для перехвата вложений, дополнительно включите Файлы - Теневое копирование и укажите размер файлов в окне Выполнять теневые копии для файлов не более:.

Файловая активность

Для отслеживания файловых операций и создания теневых копий файлов, включите соответствующие правила в настройках агента в разделе Файлы.

Команды для работы с агентом

Действие

Команда

Запуск агента

sudo /usr/share/staff/agent start

Остановка агента

sudo /usr/share/staff/agent stop

Перезапуск агента

sudo /usr/share/staff/agent restart

PID процесса агента

sudo /usr/share/staff/agent status

Информация об агенте

sudo /usr/share/staff/agent info

Удаление агента

sudo /usr/share/staff/agent uninstall

Смена HWID агента

sudo /usr/share/staff/agent hwid

Текущая конфигурация

sudo /usr/share/staff/agent config

Создание архива
с логами агента

sudo /usr/share/staff/agent zip

Вывод логов за день

sudo /usr/share/staff/agent log

Вывод логов за месяц

sudo /usr/share/staff/agent logs

Лог в реальном времени

sudo /usr/share/staff/agent tail

Удаление агента

Удалить агента можно несколькими способами:

  • с машины, на которой установлен агент, выполнить команду:

    sudo /usr/share/staff/agent uninstall
    
  • с машины, на которой установлен агент, обратиться к установщику:

    sudo bash agent-install.sh uninstall
    
  • запросить удаление агента из веб-интерфейса сервера.

Обновление агента

Начиная с версии 0.7.46, Linux-агент поддерживает функцию обновления до новой версии по команде с сервера.

Чтобы обновить агент:

  1. В разделе Панель управления - Компьютеры выберите нужный компьютер.

  2. Выполнить действие выберите Обновить до последней версии.

Агент обновится до последней, находящейся на сервере, версии.