寫在前面的話

Teleport 4.2引入了一個名叫增強型會話記錄（Enhanced Session Recording）的新功能，該功能可以接收一個非結構化的SSH會話，並輸出結構化事件的數據流。這是Teleport的一次進步，因爲它使用了新技術（eBPF，或現在可以簡稱爲BPF）來彌補Teleport審計能力的一些不足。接下來，我們將給大家介紹這個新功能，並討論其中的一些技術細節。

背景介紹

Teleport在最早的版本中就引入了會話記錄功能，會話記錄可以捕捉用戶在終端中的打印信息，並可在之後的安全審計過程中以視頻的方式提供回放記錄。這個功能的優勢就在於，這些記錄很容易查看和理解，並且可以提供用戶在會話建立期間的相關活動以及上下文，這對於安全審計活動來說是非常有價值的。

當然，它的不足之處就在於，用戶可以通過多種方式來繞過會話記錄。

1、混淆處理-比如說下列命令：

echo Y3VybCBodHRwOi8vd3d3LmV4YW1wbGUuY29tCg== | base64 –decode | sh

當該命令解碼後即爲“curl http://www.example.com ”，但是SSH會話記錄中並不會包含curl命令。

2、Shell腳本-如果用戶上傳並執行了一個腳本，那麼腳本中的命令將無法被會話記錄捕捉到，而是直接將腳本文件輸出。

3、終端控制-終端支持各種控制命令，最常用的應該是sudo了，禁用終端的echo將允許我們在運行命令的同時不會被SSH會話記錄捕捉到。

技術實現

爲了解決這個問題，Teleport需要一種方法來在會話持續的過程中將非結構化的SSH會話轉換爲結構化的事件流。那麼這種結構化事件流中應該包含什麼呢？

我們對多種方法進行了研究，我們研究的內容從諸如regex模式匹配之類的特殊方法到更復雜的嘗試，比如自己解析原始SSH會話。我們還研究了Linux提供的各種API和系統，如Audit、fanotify和BPF。

在選擇使用哪種技術來構建時，我們有以下幾個關鍵的標準：

 1、減小誤報，理想情況下爲0。如果你的系統誤報率非常高，那麼你對警報的關注度可能會因此而減少，這將導致關鍵問題被忽略。 
 2、減少由監控所引起的任何性能影響，理想情況下爲0，這也能減輕向用戶添加額外資源的負擔。 

這些特定的方法都會存在誤報的問題。我們在解析和解釋組成SSH會話的字節流時，無法在不引起錯誤警告的情況下保證數據的準確率。而且由於性能方面的原因，我們排除了 Linux Audit 。

BPF是什麼？

Brendan Gregg，是BPF程序的開發人員，他經常將BPF描述爲一種“ 新型軟件 ”。BPF允許用戶空間程序以安全和高效的方式在內核的某些位置設置鉤子併發出事件。

安全和性能意味着什麼？在這種情況下，“安全”意味着BPF程序不能陷入無限循環中，導致系統崩潰。BPF程序不太可能像內核模塊那樣使整個操作系統崩潰。BPF程序也有性能，如果不能足夠快地使用事件，則會刪除事件，而不是拖累整個系統的性能。

Teleport如何使用BPF

Teleport當前使用了三個BPF程序： execsnoop 用於捕捉程序執行， opensnoop 用來捕捉程序所打開的文件， tcpconnect 用來捕捉程序建立的TCP鏈接。

爲了更好地瞭解這三個BPF程序的功能，大家看看我們在運行“man ls”命令時，execsnoop捕捉到的內容：

# ./execsnoop
Tracing exec()s. Ctrl-C to end.
   PID   PPID ARGS
 20139  20135 mawk -W interactive -v o=1 -v opt_name=0 -v name= [...]
 20140  20138 cat -v trace_pipe
 20171  16743 man ls
 20178  20171 preconv -e UTF-8
 20181  20171 pager -s
 20180  20171 nroff -mandoc -rLL=173n -rLT=173n -Tutf8
 20179  20171 tbl
 20184  20183 locale charmap
 20185  20180 groff -mtty-char -Tutf8 -mandoc -rLL=173n -rLT=173n
 20186  20185 troff -mtty-char -mandoc -rLL=173n -rLT=173n -Tutf8
 20187  20185 grotty

現在你也許已經瞭解了BPF程序的功能了，簡單的“man”命令，原來後面有這麼多其他的程序在執行。

Teleport已將這三個程序的代碼嵌入在了自己的庫中，當我們啓用了增強型會話記錄功能之後，它便會執行這些程序。

就其本身而言，這些程序都是用於調試和跟蹤的優秀工具，因爲它們可以告訴我們整個系統在執行哪些操作。事實上，這就是我們最開始選擇這些工具的目的：我們使用它們來調試Teleport遇到的一些問題，而這些問題可能會導致它在某些場景中耗盡文件描述符。但是，我們使用Teleport的目的各有不同，我們有時需要將程序執行與SSH會話以及標識符關聯起來。

爲了將程序執行與特定的SSH會話關聯起來，我們選擇使用cgroup（cgroupv2）。當Teleport啓動SSH會話時，它首先會重新啓動並將自己放置在cgroup中。這將允許程序對當前進程以及Teleport將要啓動的所有進程進行跟蹤，並分配唯一標識ID。Teleport所運行的BPF程序還可以 發出執行它們的程序的cgroup ID ，這允許我們將事件與特定的SSH會話和標識關聯起來。

切入主題

瞭解了關於BPF的相關內容之後，你也可以將增強型會話記錄功能引入你自己的程序之中，腳本代碼已託管至GitHub【 傳送門 】。

首先啓動Ubuntu 19.04或RHEL/CentOS 8 VM並運行上面鏈接提供的腳本。該腳本只會安裝內核頭和bcc-tools，這些都是增強型會話記錄運行的前提條件。除此之外，它還會安裝jq，這樣更有助於可視化查看結構化事件流。

安裝命令如下：

yum install -y kernel-headers bcc-tools

或

apt install -y linux-headers-$(uname -r) bpfcc-tools

如需啓用Teleport中的增強型會話記錄功能，請將下列內容添加至配置文件中：

   ssh_service:
       enhanced_recording:
          enabled: yes

當你以本文說明的方式在終端中執行“curl http://www.gravitational.com ”時，你將會看到下列輸出內容：

{

{

"argv": [

" http://www.gravitational.com "

],

"cgroup_id": 4294967355,

"code": "T4000I",

"ei": 15,

"event": "session.command",

"login": "root",

"namespace": "default",

"path": "/bin/curl",

"pid": 2315,

"ppid": 2294,

"program": "curl",

"return_code": 0,

"server_id": "e56dc762-0171-4d6e-aa56-24f2ae268c7f",

"sid": "72aabcd8-38c8-11ea-af55-42010a800031",

"time": "2020-01-17T01:27:05.07Z",

"uid": "4b493296-7df2-4ec7-9282-a19c0d98e261",

"user": "test-user"

}

{

"cgroup_id": 4294967355,

"code": "T4002I",

"dst_addr": "104.24.97.116",

"dst_port": 80,

"ei": 0,

"event": "session.network",

"login": "root",

"namespace": "default",

"pid": 2315,

"program": "curl",

"server_id": "e56dc762-0171-4d6e-aa56-24f2ae268c7f",

"sid": "72aabcd8-38c8-11ea-af55-42010a800031",

"src_addr": "10.128.0.49",

"time": "2020-01-17T01:27:05.145Z",

"uid": "42831223-1da2-4b26-a783-08060fd8d7b1",

"user": "test-user",

"version": 4

}

此時，我們可以看到用戶將以兩種方式運行curl程序。第一種就是程序執行本身，第二種方法就是程序的行爲，curl將會發送一個網絡請求。

當然了，你也可以嘗試運行其他內容，比如說經過混淆處理的命令等等，你同樣可以在日誌中查看到執行結果。

執行演示

下面演示的是增強型會話記錄如何將一個非結構化的SSH會話轉換成了一個結構化事件流：

*參考來源： gravitational ，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM

相關文章