Kada je sistemski administrator obično unutar lnajviše svakodnevne zadatke koje obično obavljaju (uz stvaranje i oporavak lozinki za e-poštu), postoji održavanje i nadzor opreme.
Tamo gdje su općenito, da bi se izbjegli toliki problemi, funkcionalnosti opreme u smislu instalacije aplikacija obično su ograničene, a uz određena ograničenja unutar poslovne mreže. U tim uobičajenim zadacima mnogi imaju tendenciju podcjenjivati osoblje koji koristi opremu, izvršavajući samo jednostavna ograničenja.
Malo administratora sustava koji su odgovorni za Linux računala da samostalno kompajliraju jezgru kako bi mogli izvršiti ograničenja, gdje se USB portovi obično zaobilaze.
Ovdje dolazi izvrstan alat. koje sam pronašao na mrežnom surfanju. Njegovo ime je usbrip, koji je po riječima njegovog tvorca
"To je forenzički alat otvorenog koda s CLI sučeljem koji vam omogućuje praćenje artefakata USB uređaja (tj. Povijesti događaja USB-a) na Linux računalima."
USBRip vam omogućuje pregled jasnije brzo analizom dnevnika Linuxa. Ovaj mali softver napisan na čistom Pythonu 3 (koristeći neke vanjske module) koji raščlanjuje datoteke dnevnika Linuxa ( / var / log / syslog * i / var / log / messages * ovisno o distribuciji) za izradu tablica povijesti USB događaja.
Unutar podataka koje pružate, prikazuje se sljedeće: Datum i vrijeme prijave, korisnik, ID davatelja, ID proizvoda, proizvođač, serijski broj, priključak i datum i vrijeme odjave.
Osim toga, također možete:
- Izvoz prikupljenih podataka kao odlagalište JSON (i otvaranje takvih odlagališta, naravno);
- generirajte popis ovlaštenih (pouzdanih) USB uređaja kao JSON (nazovite auth.json).
- Potražite događaje "kršenja" na temelju auth.json: prikažite (ili generirajte drugi s JSON-om) USB uređaje koji se pojavljuju u povijesti, a ne pojavljuju u auth.json.
- Kada se instalira s -s *, stvara šifrirane pohrane (datoteke 7zip) za automatsko stvaranje sigurnosnih kopija i akumuliranje USB događaja uz pomoć crontaba. Osim što možete pretraživati dodatne detalje o određenom USB uređaju na temelju njegovih VID-a i / ili PID-a.
Kako instalirati Usbrip na Linux?
Za one koje zanima mogućnost instaliranja ovog alata, mora imati instaliran Python 3 na vašem sustavu kao i pip (Pythonov sustav upravljanja paketima)
Da biste instalirali Usbrip samo otvorite terminal i u njega upišite sljedeću naredbu:
pip3 install usbrip
pip install terminaltables termcolor
pip install tqdm
Sada na isti način mogu preuzeti projektni kod i odatle koristiti alat. Da bi to učinili, trebaju samo utipkati s terminala:
git clone https://github.com/snovvcrash/usbrip.git usbrip
A zatim uđite u direktorij sa:
cd usbrip
A ovisnosti rješavamo s:
python3 -m venv venv && source venv/bin/activate
Upotreba usbripa
Korištenje ovog alata relativno je jednostavno. Tako da da bismo vidjeli povijest događaja samo izvršavamo sljedeću naredbu:
usbrip events history
O
python3 usbrip.py events history
Gdje će biti prikazani događaji. Na isti se način mogu filtrirati po danima ili nizu posebnih.
Na primjer
usbrip events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
O
python3 usbrip.py events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
Ovom će se radnjom prikazivati podaci svih vanjskih USB uređaja povezanih s opremom u razdoblju od 10. do 15. listopada.
Za rad s filtrima. Dostupne su 4 vrste filtriranja: samo vanjski USB događaji (uređaji koji se lako mogu ukloniti -e); po datumu (-d); po poljima (–korisnik, –vid, –pid, –proizvod, –proizvod, –serijski, –port) i po broju ulaza dobivenih kao izlaz (-n).
Da biste generirali JSON datoteku s događajima:
usbrip events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
O
python3 usbrip.py events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
Koji će sadržavati podatke o prvih 10 uređaja povezanih 30. listopada 2019.
Ako želite znati više o upotrebi ovog alata, možete provjerite sljedeću poveznicu.