Atunci când este un administrator de sisteme de obicei în lsarcinile cele mai cotidiene pe care le îndeplinesc de obicei (pe lângă crearea și recuperarea parolelor de e-mail), există întreținerea și supravegherea echipamentului.
În general, pentru a evita atât de multe probleme, funcționalitățile echipamentelor în ceea ce privește instalarea aplicației sunt de obicei limitate și, pe lângă faptul că fac unele restricții în cadrul rețelei de afaceri. În aceste sarcini comune, mulți tind să subestimeze personalul cine folosește echipamentul, efectuând doar limitări simple.
Puțini administratori de sisteme care sunt responsabili pentru calculatoarele Linux pentru a compila nucleul pe cont propriu pentru a putea efectua restricțiile, care în general ocolesc porturile USB.
Aici intervine un instrument grozav. pe care l-am găsit navigând pe net. Numele lui este usbrip, care în cuvintele creatorului său
„Este un instrument criminalistic open source cu interfață CLI care vă permite să urmăriți artefactele dispozitivelor USB (adică istoricul evenimentelor USB) pe mașinile Linux”
USBRip vă permite să vedeți mai clar repede prin analiza jurnalelor Linux. Acest mic software scris în Python 3 pur (folosind unele module externe) care analizează fișierele jurnal Linux ( / var / log / syslog * și / var / log / messages * în funcție de distribuție) pentru a construi tabele cu istoricul evenimentelor USB.
În cadrul informațiilor pe care le furnizați, se afișează următoarele: Data și ora conectării, utilizatorul, ID-ul furnizorului, ID-ul produsului, producătorul, numărul de serie, portul și data și ora deconectării.
În plus, puteți, de asemenea:
- Exportați informațiile colectate ca o descărcare JSON (și deschideți aceste descărcări, desigur);
- generați o listă de dispozitive USB autorizate (de încredere) ca JSON (numiți-l auth.json).
- Căutați evenimente de „încălcare” bazate pe auth.json: afișați (sau generați altul cu JSON) dispozitive USB care apar în istoric și nu apar în auth.json.
- Când este instalat cu -s * creează stocări criptate (fișiere 7zip) pentru a face backup și a acumula evenimente USB automat cu ajutorul crontab. În plus față de posibilitatea de a căuta detalii suplimentare despre un anumit dispozitiv USB pe baza VID-ului și / sau PID-ului său.
Cum se instalează Usbrip pe Linux?
Pentru cei care sunt interesați să poată instala acest instrument, trebuie să aibă instalat Python 3 pe sistemul dvs., precum și pe pip (sistemul de gestionare a pachetelor Python)
Pentru a instala Usbrip trebuie doar să deschideți un terminal și să tastați următoarea comandă:
pip3 install usbrip
pip install terminaltables termcolor
pip install tqdm
Acum, la fel ei pot descărca codul proiectului și pot folosi instrumentul de acolo. Pentru a face acest lucru, trebuie doar să tastați de la un terminal:
git clone https://github.com/snovvcrash/usbrip.git usbrip
Și apoi intră în director cu:
cd usbrip
Și rezolvăm dependențele cu:
python3 -m venv venv && source venv/bin/activate
Utilizarea usbrip
Utilizarea acestui instrument este relativ simplă. Astfel încât pentru a vedea istoricul evenimentelor, executăm următoarea comandă:
usbrip events history
O
python3 usbrip.py events history
Unde vor fi afișate evenimentele. În același mod, pot fi filtrate în funcție de zile sau de o gamă specială.
De exemplu,
usbrip events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
O
python3 usbrip.py events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
Cu această acțiune, informațiile tuturor dispozitivelor USB externe conectate la echipament vor fi afișate în perioada 10 - 15 octombrie.
Pentru a lucra cu filtre. Există 4 tipuri de filtrare disponibile: numai evenimente USB externe (dispozitive care pot fi ușor eliminate -e); după dată (-d); după câmpuri (–user, –vid, –pid, –product, –manufact, –serial, –port) și după numărul de intrări obținut ca ieșire (-n).
Pentru a genera un fișier JSON cu evenimentele:
usbrip events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
O
python3 usbrip.py events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
Care va conține informații despre primele 10 dispozitive conectate la 30 octombrie 2019.
Dacă doriți să aflați mai multe despre utilizarea acestui instrument, puteți verificați următorul link.