Kdy to je správce systému obvykle v lty každodenní úkoly, které obvykle dělají (kromě vytváření a obnovy e-mailových hesel), probíhá údržba a dohled nad zařízením.
Kde obecně, aby se předešlo tolika problémům, jsou funkce zařízení, pokud jde o instalaci aplikace, obvykle omezené a navíc k určitým omezením v rámci obchodní sítě. Při těchto běžných úkolech mají mnozí zaměstnanci tendenci podceňovat kdo používá zařízení, pouze provedením jednoduchých omezení.
Několik administrátorů systémů kteří mají na starosti počítače s Linuxem, aby si jádro sestavili sami aby bylo možné provádět omezení, která obecně obcházejí porty USB.
To je místo, kde přichází skvělý nástroj. které jsem našel na internetu surfovat. Jmenuje se usbrip, který podle slov jeho tvůrce
„Jedná se o forenzní nástroj s otevřeným zdrojovým kódem s rozhraním CLI, který umožňuje sledovat artefakty zařízení USB (tj. Historii událostí USB) na strojích se systémem Linux“
USBRip umožňuje prohlížení jasněji rychle analýzou protokolů Linuxu. Tento malý software napsaný v čistém Pythonu 3 (pomocí některých externích modulů), který analyzuje soubory protokolu Linux ( / var / log / syslog * a / var / log / messages * v závislosti na distribuci) k vytváření tabulek historie událostí USB.
V rámci informací, které poskytnete, zobrazí se následující: Datum a čas přihlášení, uživatel, ID poskytovatele, ID produktu, výrobce, sériové číslo, port a datum a čas odhlášení.
Kromě toho můžete také:
- Exportovat shromážděné informace jako výpis JSON (a samozřejmě takové skládky otevřít);
- vygenerujte seznam autorizovaných (důvěryhodných) zařízení USB jako JSON (říkejte tomu auth.json).
- Najděte události „narušení“ na základě auth.json: zobrazit (nebo vygenerovat další pomocí JSON) zařízení USB, která se objevují v historii a nezobrazují se v auth.json.
- Pokud je nainstalován s -s *, vytváří šifrovaná úložiště (soubory 7zip) pro automatické zálohování a shromažďování událostí USB pomocí crontab. Kromě možnosti vyhledávat další podrobnosti o konkrétním zařízení USB na základě jeho VID a / nebo PID.
Jak nainstalovat Usbrip na Linux?
Pro ty, kteří mají zájem o instalaci tohoto nástroje, musí být nainstalován Python 3 na vašem systému stejně jako pip (systém správy balíčků Pythonu)
Chcete-li nainstalovat Usbrip jednoduše otevřete terminál a zadejte do něj následující příkaz:
pip3 install usbrip
pip install terminaltables termcolor
pip install tqdm
Nyní stejným způsobem mohou si stáhnout kód projektu a odtud použít nástroj. K tomu musí pouze psát z terminálu:
git clone https://github.com/snovvcrash/usbrip.git usbrip
A poté zadejte adresář pomocí:
cd usbrip
Závislosti řešíme pomocí:
python3 -m venv venv && source venv/bin/activate
Usbrip využití
Použití tohoto nástroje je relativně jednoduché. Aby pro zobrazení historie událostí stačí spustit následující příkaz:
usbrip events history
O
python3 usbrip.py events history
Kde budou události zobrazeny. Stejným způsobem je lze filtrovat podle dnů nebo řady speciálních.
Např.
usbrip events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
O
python3 usbrip.py events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
Pomocí této akce se v období od 10. do 15. října zobrazí informace o všech externích zařízeních USB připojených k zařízení.
Práce s filtry. K dispozici jsou 4 typy filtrování: pouze externí události USB (zařízení, která lze snadno odebrat -e); podle data (-d); podle polí (–user, –vid, –pid, –product, –manufact, –serial, –port) a podle počtu vstupů získaných jako výstup (-n).
Generování souboru JSON s událostmi:
usbrip events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
O
python3 usbrip.py events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
Který bude obsahovat informace o prvních 10 zařízeních připojených 30. října 2019.
Pokud se chcete dozvědět více o použití tohoto nástroje, můžete zkontrolujte následující odkaz.