Когда он является системный администратор обычно в пределах XNUMXсамые повседневные задачи, которые они обычно выполняют (в дополнение к созданию и восстановлению паролей электронной почты), есть обслуживание и шеф-монтаж оборудования.
Обычно, чтобы избежать такого количества проблем, функциональные возможности оборудования с точки зрения установки приложений обычно ограничены, помимо некоторых ограничений внутри бизнес-сети. В этих общих задачах многие склонны недооценивать персонал. кто использует оборудование, выполняя только простые ограничения.
Мало администраторов систем кто отвечает за компьютеры Linux для самостоятельной компиляции ядра чтобы иметь возможность выполнять ограничения, когда порты USB обычно игнорируются.
Вот тут-то и пригодится отличный инструмент. что я нашел в сети, занимаясь серфингом. Его зовут usbrip, что по словам его создателя
«Это инструмент судебной экспертизы с открытым исходным кодом и интерфейсом командной строки, который позволяет отслеживать артефакты USB-устройств (то есть историю событий USB) на машинах Linux».
USBRip позволяет просматривать четче быстрее путем анализа журналов Linux. Это небольшое программное обеспечение, написанное на чистом Python 3 (с использованием некоторых внешних модулей), которое анализирует файлы журналов Linux ( / var / log / syslog * и / var / log / messages * в зависимости от дистрибутива) для построения таблиц истории событий USB.
В рамках предоставленной вами информацииотображается следующее: дата и время входа в систему, пользователь, идентификатор поставщика, идентификатор продукта, производитель, серийный номер, порт, а также дата и время выхода.
Кроме того, вы также можете:
- Экспортировать собранную информацию в виде дампа JSON (и, конечно, открывать такие дампы);
- создать список авторизованных (доверенных) USB-устройств в формате JSON (назовите его auth.json).
- Выполните поиск событий «нарушения» на основе auth.json: покажите (или сгенерируйте другое с помощью JSON) USB-устройства, которые появляются в истории и не отображаются в auth.json.
- При установке с -s * он создает зашифрованные хранилища (файлы 7zip) для автоматического резервного копирования и накопления событий USB с помощью crontab. Помимо возможности поиска дополнительных сведений о конкретном USB-устройстве на основе его VID и / или PID.
Как установить Usbrip в Linux?
Для тех, кто заинтересован в возможности установить этот инструмент, должен быть установлен Python 3 в вашей системе, а также в pip (система управления пакетами Python)
Для установки Usbrip просто откройте терминал и введите в нем следующую команду:
pip3 install usbrip
pip install terminaltables termcolor
pip install tqdm
Теперь точно так же они могут скачать код проекта и использовать инструмент оттуда. Для этого им нужно только ввести с терминала:
git clone https://github.com/snovvcrash/usbrip.git usbrip
И затем они входят в каталог с:
cd usbrip
И мы решаем зависимости с помощью:
python3 -m venv venv && source venv/bin/activate
Usbrip использование
Использовать этот инструмент относительно просто. Так что чтобы увидеть историю событий, мы просто выполняем следующую команду:
usbrip events history
O
python3 usbrip.py events history
Где будут показаны события. Таким же образом их можно фильтровать по дням или диапазону особых.
Например
usbrip events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
O
python3 usbrip.py events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
С помощью этого действия будет отображаться информация обо всех внешних USB-устройствах, подключенных к оборудованию в период с 10 по 15 октября.
Для работы с фильтрами. Доступны 4 типа фильтрации: только внешние события USB (устройства, которые можно легко удалить -e); по дате (-d); по полям (–user, –vid, –pid, –product, –manufact, –serial, –port) и по количеству входов, полученных как выход (-n).
Чтобы сгенерировать файл JSON с событиями:
usbrip events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
O
python3 usbrip.py events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
Которая будет содержать информацию о первых 10 устройствах, подключенных 30 октября 2019 года.
Если вы хотите узнать больше об использовании этого инструмента, вы можете проверьте следующую ссылку.