Kad tas ir sistēmas administrators parasti lvisvairāk ikdienas uzdevumus, ko viņi parasti veic (papildus e-pasta paroļu izveidei un atkopšanai), ir aprīkojuma apkope un uzraudzība.
Parasti, lai izvairītos no tik daudzām problēmām, iekārtu funkcionalitāte lietojumprogrammu instalēšanas ziņā parasti ir ierobežota un papildus tam, ka tiek noteikti daži ierobežojumi biznesa tīklā. Veicot šos kopīgos uzdevumus, daudzi mēdz nenovērtēt personālu kas izmanto iekārtu, veicot tikai vienkāršus ierobežojumus.
Administratoru maz sistēmu kuri ir atbildīgi par Linux datoriem, lai paši sastādītu kodolu lai varētu izpildīt ierobežojumus, kur USB porti parasti tiek apieti.
Šeit ir pieejams lielisks rīks. ko atradu tīklā sērfošanu. Viņa vārds ir usbrip, kas pēc tā radītāja vārdiem
"Tas ir atvērtā koda kriminālistikas rīks ar CLI interfeisu, kas ļauj izsekot USB ierīču artefaktus (ti, USB notikumu vēsturi) Linux mašīnās"
USBRip ļauj jums apskatīt skaidrāk ātri analizējot Linux žurnālus. Šī mazā programmatūra, kas rakstīta tīrā Python 3 (izmantojot dažus ārējos moduļus), kas parsē Linux žurnālfailus ( / var / log / syslog * un / var / log / messages * atkarībā no izplatīšanas), lai izveidotu USB notikumu vēstures tabulas.
Jūsu sniegtajā informācijā, tiek parādīts: pieteikšanās datums un laiks, lietotājs, pakalpojumu sniedzēja ID, produkta ID, ražotājs, sērijas numurs, ports un atteikšanās datums un laiks.
Turklāt jūs varat arī:
- Eksportēt savākto informāciju kā JSON izgāztuvi (un, protams, atvērt šādas izgāztuves);
- ģenerē autorizētu (uzticamu) USB ierīču sarakstu kā JSON (sauc to auth.json).
- Meklējiet "pārkāpumu" notikumus, pamatojoties uz auth.json: parādiet (vai ģenerējiet citu ar JSON) USB ierīces, kas parādās vēsturē un neparādās auth.json.
- Instalējot kopā ar -s *, tas izveido šifrētus krātuves (7zip failus), lai ar crontab palīdzību automātiski dublētu un uzkrātu USB notikumus. Papildus tam, ka ir iespējams meklēt papildu informāciju par konkrētu USB ierīci, pamatojoties uz tās VID un / vai PID.
Kā instalēt Usbrip uz Linux?
Tiem, kurus interesē iespēja instalēt šo rīku, jābūt instalētai Python 3 jūsu sistēmā, kā arī pip (Python pakotņu pārvaldības sistēma)
Lai instalētu Usbrip vienkārši atveriet termināli un tajā ierakstiet šādu komandu:
pip3 install usbrip
pip install terminaltables termcolor
pip install tqdm
Tagad tāpat viņi var lejupielādēt projekta kodu un izmantot rīku no turienes. Lai to izdarītu, viņiem ir jāraksta tikai no termināļa:
git clone https://github.com/snovvcrash/usbrip.git usbrip
Pēc tam ievadiet direktoriju ar:
cd usbrip
Atkarības mēs atrisinām ar:
python3 -m venv venv && source venv/bin/activate
Usbrip izmantošana
Šī rīka izmantošana ir samērā vienkārša. Tā lai skatītu notikumu vēsturi, mēs vienkārši izpildām šādu komandu:
usbrip events history
O
python3 usbrip.py events history
Kur tiks rādīti notikumi. Tādā pašā veidā tos var filtrēt pēc dienām vai īpašo diapazonu.
Piem
usbrip events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
O
python3 usbrip.py events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
Veicot šo darbību, laika posmā no 10. līdz 15. oktobrim tiks parādīta informācija par visām iekārtai pievienotajām ārējām USB ierīcēm.
Lai strādātu ar filtriem. Pieejami 4 filtrēšanas veidi: tikai ārējie USB notikumi (ierīces, kuras var viegli noņemt -e); pēc datuma (-d); pēc laukiem (–lietotājs, –vid, –pid, –produkts, –ražot, –sērijas, –port) un pēc izejas iegūto izejvielu skaita (-n).
Lai ģenerētu JSON failu ar notikumiem:
usbrip events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
O
python3 usbrip.py events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
Tajā būs informācija par pirmajām 10 ierīcēm, kas pievienotas 30. gada 2019. oktobrī.
Ja vēlaties uzzināt vairāk par šī rīka izmantošanu, varat pārbaudiet šo saiti.