Quando è un amministratore di sistema di solito all'interno di lle attività più quotidiane che fanno di solito (oltre a creare e recuperare password e-mail), c'è la manutenzione e la supervisione delle apparecchiature.
Dove generalmente, per evitare così tanti problemi, le funzionalità delle apparecchiature in termini di installazione dell'applicazione sono solitamente limitate e oltre a fare alcune restrizioni all'interno della rete aziendale. In questi compiti comuni, molti tendono a sottovalutare il personale chi utilizza l'attrezzatura, eseguendo solo semplici limitazioni.
Pochi amministratori dei sistemi che sono responsabili per i computer Linux di compilare il kernel da soli per essere in grado di eseguire le restrizioni, dove le porte USB sono generalmente bypassate.
È qui che entra in gioco un ottimo strumento. che ho trovato in rete navigando. Il suo nome è Usb, che nelle parole del suo creatore
"È uno strumento forense open source con interfaccia CLI che consente di tenere traccia degli artefatti del dispositivo USB (ad esempio la cronologia degli eventi USB) su macchine Linux"
USBRip ti consente di visualizzare più chiaramente rapidamente analizzando i log di Linux. Questo piccolo software scritto in puro Python 3 (utilizzando alcuni moduli esterni) che analizza i file di log di Linux ( / var / log / syslog * e / var / log / messages * a seconda della distribuzione) per creare tabelle della cronologia degli eventi USB.
All'interno delle informazioni fornite, viene visualizzato quanto segue: data e ora di accesso, utente, ID provider, ID prodotto, produttore, numero di serie, porta e data e ora di logout.
Inoltre puoi anche:
- Esporta le informazioni raccolte come dump JSON (e apri tali dump, ovviamente);
- genera un elenco di dispositivi USB autorizzati (attendibili) come JSON (chiamalo auth.json).
- Cerca eventi di "violazione" basati su auth.json: mostra (o generane un altro con JSON) dispositivi USB che compaiono nella cronologia e non compaiono in auth.json.
- Se installato con -s * crea archivi crittografati (archivi 7zip) per eseguire il backup e accumulare eventi USB automaticamente con l'aiuto di crontab. Oltre a poter cercare i dettagli aggiuntivi su uno specifico dispositivo USB in base al suo VID e / o PID.
Come installare Usbrip su Linux?
Per coloro che sono interessati a poter installare questo strumento, deve avere installato Python 3 sul tuo sistema così come pip (il sistema di gestione dei pacchetti di Python)
Per installare Usbrip basta aprire un terminale e in esso digitare il seguente comando:
pip3 install usbrip
pip install terminaltables termcolor
pip install tqdm
Adesso allo stesso modo possono scaricare il codice del progetto e utilizzare lo strumento da lì. Per fare ciò, devono solo digitare da un terminale:
git clone https://github.com/snovvcrash/usbrip.git usbrip
E poi entrano nella directory con:
cd usbrip
E risolviamo le dipendenze con:
python3 -m venv venv && source venv/bin/activate
Utilizzo di Usbrip
L'utilizzo di questo strumento è relativamente semplice. Così che per vedere la cronologia degli eventi basta eseguire il seguente comando:
usbrip events history
O
python3 usbrip.py events history
Dove verranno mostrati gli eventi. Allo stesso modo, possono essere filtrati per giorni o un intervallo di speciali.
Ad es
usbrip events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
O
python3 usbrip.py events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
Con questa azione, le informazioni di tutti i dispositivi USB esterni collegati all'apparecchiatura verranno visualizzate nel periodo dal 10 al 15 ottobre.
Per lavorare con i filtri. Sono disponibili 4 tipi di filtri: solo eventi USB esterni (dispositivi che possono essere facilmente rimossi -e); per data (-d); dai campi (–user, –vid, –pid, –product, –manufact, –serial, –port) e dal numero di input ottenuti come output (-n).
Per generare un file JSON con gli eventi:
usbrip events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
O
python3 usbrip.py events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
Che conterrà informazioni sui primi 10 dispositivi collegati il ​​30 ottobre 2019.
Se vuoi saperne di più sull'uso di questo strumento puoi farlo controllare il seguente collegamento.