Lorsqu'il est un administrateur système généralement dans lles tâches les plus quotidiennes qu'ils accomplissent habituellement (en plus de créer et de récupérer des mots de passe de messagerie), il y a l'entretien et la supervision de l'équipement.
Là où généralement pour éviter autant de problèmes, les fonctionnalités de l'équipement en termes d'installation d'application sont généralement limitées et en plus de faire quelques restrictions au sein du réseau d'entreprise. Dans ces tâches courantes, beaucoup ont tendance à sous-estimer le personnel qui utilise l'équipement, en n'effectuant que de simples limitations.
Peu d'administrateurs des systèmes qui sont responsables des ordinateurs Linux pour compiler le noyau eux-mêmes pour pouvoir exécuter les restrictions, là où les ports USB sont généralement contournés.
C'est là qu'un excellent outil entre en jeu. que j'ai trouvé sur le surf sur le net. Son nom est usbrip, qui selon les mots de son créateur
"Il s'agit d'un outil d'analyse judiciaire open source avec une interface CLI qui vous permet de garder une trace des artefacts de périphériques USB (c'est-à-dire l'historique des événements USB) sur les machines Linux"
USBRip vous permet de voir plus clairement rapidement en analysant les journaux Linux. Ce petit logiciel écrit en pur Python 3 (utilisant des modules externes) qui analyse les fichiers journaux Linux ( / var / log / syslog * et / var / log / messages * selon la distribution) pour créer des tableaux d'historique d'événements USB.
Dans les informations que vous fournissez, les informations suivantes s'affichent: date et heure de connexion, utilisateur, identifiant du fournisseur, identifiant du produit, fabricant, numéro de série, port et date et heure de déconnexion.
De plus, vous pouvez également:
- Exportez les informations collectées sous forme de vidage JSON (et ouvrez de tels vidages, bien sûr);
- générer une liste de périphériques USB autorisés (approuvés) en tant que JSON (appelez-le auth.json).
- Recherchez les événements de "violation" basés sur auth.json: affichez (ou générez-en un autre avec JSON) les périphériques USB qui apparaissent dans l'historique et n'apparaissent pas dans auth.json.
- Lorsqu'il est installé avec -s *, il crée des stockages cryptés (fichiers 7zip) pour sauvegarder et accumuler automatiquement les événements USB à l'aide de crontab. En plus de pouvoir rechercher des détails supplémentaires sur un périphérique USB spécifique en fonction de son VID et / ou PID.
Comment installer Usbrip sur Linux?
Pour ceux qui souhaitent pouvoir installer cet outil, doit avoir Python 3 installé sur votre système ainsi que pip (le système de gestion de paquets de Python)
Pour installer Usbrip ouvrez simplement un terminal et tapez la commande suivante:
pip3 install usbrip
pip install terminaltables termcolor
pip install tqdm
Maintenant de la même manière ils peuvent télécharger le code du projet et utiliser l'outil à partir de là. Pour ce faire, il leur suffit de taper depuis un terminal:
git clone https://github.com/snovvcrash/usbrip.git usbrip
Et puis ils entrent dans le répertoire avec:
cd usbrip
Et nous résolvons les dépendances avec:
python3 -m venv venv && source venv/bin/activate
Utilisation d'Usbrip
L'utilisation de cet outil est relativement simple. Pour ce que pour voir l'historique des événements, nous exécutons simplement la commande suivante:
usbrip events history
O
python3 usbrip.py events history
Où les événements seront affichés. De la même manière, ils peuvent être filtrés par jours ou par plage de.
Par exemple
usbrip events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
O
python3 usbrip.py events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
Avec cette action, les informations de tous les périphériques USB externes connectés à l'équipement seront affichées pendant la période du 10 au 15 octobre.
Pour travailler avec des filtres. Il existe 4 types de filtrage disponibles: uniquement les événements USB externes (périphériques qui peuvent être facilement supprimés -e); par date (-d); par champs (–user, –vid, –pid, –product, –manufacturé, –serial, –port) et par le nombre d'entrées obtenues comme sortie (-n).
Pour générer un fichier JSON avec les événements:
usbrip events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
O
python3 usbrip.py events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
Qui contiendra des informations sur les 10 premiers appareils connectés le 30 octobre 2019.
Si vous souhaitez en savoir plus sur l'utilisation de cet outil, vous pouvez vérifiez le lien suivant.