Linux 特权会话录制及回放审计指南

Linux无内置特权会话录像功能，需组合script（轻量录制）、Tlog（生产级结构化审计）、asciinema（高保真分享）实现操作留痕，并通过权限控制、完整性校验与sudo日志联动保障可信性。

Linux 本身不提供开箱即用的特权会话录像功能，但可通过组合工具实现完整、可验证、可回放的操作留痕。核心不是“录屏”，而是捕获输入输出流 + 明确操作主体 + 保障日志可信。重点在于谁、何时、以什么权限、执行了哪些命令，以及能否真实还原交互过程。

基础录制：script + 时间戳回放

script 是最轻量、系统自带的方案，适合快速启用和简单审计场景：

• 启动录制：script -t 2> timing.log session.log（-t 记录时间偏移，2> 将时序数据重定向到 timing.log）
• 执行命令（如 sudo systemctl restart nginx 或 vi /etc/hosts），所有终端交互实时写入 session.log
• 退出：exit 或 Ctrl+D，生成两个文件
• 回放：scriptreplay timing.log session.log，按原始节奏还原，支持 -d 2 加速或 -d 0.5 放慢

注意：script 对 vim、htop 等全屏应用支持有限，仅记录字符流，不保留颜色与光标精确定位。

生产级审计：Tlog 全自动会话捕获

Tlog 专为安全审计设计，能无缝集成 SSH 登录流程，自动记录 root 权限操作，并输出结构化日志：

• 强制 SSH 登录触发录制：在 /etc/ssh/sshd_config 中添加 ForceCommand /usr/bin/tlog-rec-session，重启 sshd
• 配置日志路径：新建 /etc/tlog/conf.d/10-output.conf，指定 JSON 格式输出，例如：
  {"output": {"type": "file", "path": "/var/log/tlog/%Y-%m-%d-%H-%u.json"}}
• 确保目录安全：sudo mkdir -p /var/log/tlog && sudo chmod 0700 /var/log/tlog
• 回放任意会话：sudo tlog-play -u alice --from '2026-06-12T09:00'，支持按用户、时间、命令关键词检索

高保真协作审计：asciinema 彩色回放与分享

当需要演示、复盘或跨团队协作审计时，asciinema 提供更直观体验：

• 安装简单：curl -sL https://asciinema.org/install | sh（或 apt/yum install）
• 录制带上下文：asciinema rec -c "sudo -i" /var/log/audit/priv_john_$(date +%s).json
• 本地回放：asciinema play priv_john_1718185800.json
• 上传分享：asciinema upload priv_john_1718185800.json，获得可嵌入网页的播放链接
• 优势：原生支持颜色、滚动、搜索命令、暂停复制文本，且单文件存储无需额外 timing 文件

权限与完整性加固要点

录像文件本身是审计证据，必须防篡改、限访问、可校验：

• 日志目录（如 /var/log/audit/ 或 /var/log/tlog/）设为 700，属主 root，禁止普通用户读写
• 启用文件完整性监控：用 aide 或 tripwire 定期扫描录像文件哈希值，异常变动立即告警
• 命名规范：包含用户名、时间戳、主机名（例：tlog_alice_20260612_1025_server-prod.json），便于与 sudo 日志交叉关联
• 联动 sudo 审计：确认 /etc/sudoers 启用 Defaults logfile="/var/log/sudo.log"，确保提权行为有独立日志锚点