Kedy to je správca systémov obvykle do lnajbežnejšie úlohy, ktoré zvyčajne robia (okrem vytvárania a obnovy e-mailových hesiel), tam je údržba a dohľad nad zariadením.
Tam, kde sa všeobecne dá vyhnúť toľkým problémom, sú funkcie zariadenia z hľadiska inštalácie aplikácie zvyčajne obmedzené a navyše k určitým obmedzeniam v rámci obchodnej siete. Pri týchto bežných úlohách mnohí majú tendenciu podceňovať personál kto používa zariadenie, iba vykonaním jednoduchých obmedzení.
Málo správcov systémov ktorí majú na starosti počítače s Linuxom, aby si jadro zostavili sami aby bolo možné vykonať obmedzenia, ktoré zvyčajne obchádzajú porty USB.
Tu prichádza na rad vynikajúci nástroj. ktoré som našiel na nete surfovať. Jeho meno je usbrip, ktorý podľa slov jeho tvorcu
„Je to forenzný nástroj s otvoreným zdrojom s rozhraním CLI, ktorý umožňuje sledovať artefakty zariadení USB (napr. Históriu udalostí USB) na počítačoch so systémom Linux“
USBRip vám umožní vidieť zreteľnejšie rýchlo analýzou protokolov systému Linux. Tento malý softvér napísaný v čistom jazyku Python 3 (pomocou niektorých externých modulov), ktorý analyzuje súbory protokolu Linux ( / var / log / syslog * a / var / log / messages * v závislosti od distribúcie) na zostavenie tabuliek histórie udalostí USB.
V rámci informácií, ktoré poskytnete, zobrazí sa nasledovné: Dátum a čas prihlásenia, používateľ, ID poskytovateľa, ID produktu, výrobca, sériové číslo, port a dátum a čas odhlásenia.
Okrem toho môžete tiež:
- Exportujte zhromaždené informácie ako výpis JSON (a samozrejme tieto skládky otvorte);
- vygenerujte zoznam autorizovaných (dôveryhodných) zariadení USB ako JSON (nazvite to auth.json).
- Vyhľadajte udalosti „porušenia“ založené na auth.json: ukážte (alebo vygenerujte ďalšie pomocou JSON) USB zariadenia, ktoré sa objavujú v histórii a nezobrazujú sa v auth.json.
- Ak je nainštalovaný s -s *, vytvára šifrované úložiská (súbory 7zip) na automatické zálohovanie a zhromažďovanie udalostí USB pomocou programu crontab. Okrem možnosti vyhľadávať ďalšie podrobnosti o konkrétnom zariadení USB na základe jeho VID alebo PID.
Ako nainštalovať Usbrip na Linux?
Pre tých, ktorí majú záujem o inštaláciu tohto nástroja, musí mať nainštalovaný Python 3 na vašom systéme, ako aj pip (systém správy balíkov Pythonu)
Ak chcete nainštalovať Usbrip otvorte terminál a zadajte doň nasledujúci príkaz:
pip3 install usbrip
pip install terminaltables termcolor
pip install tqdm
Teraz rovnakým spôsobom môžu si stiahnuť kód projektu a odtiaľ použiť nástroj. Aby to mohli urobiť, musia iba písať z terminálu:
git clone https://github.com/snovvcrash/usbrip.git usbrip
A potom zadajte adresár pomocou:
cd usbrip
Závislosti riešime pomocou:
python3 -m venv venv && source venv/bin/activate
Využitie služby Usbrip
Používanie tohto nástroja je pomerne priame. Tak teda aby sme videli históriu udalostí, spustíme nasledujúci príkaz:
usbrip events history
O
python3 usbrip.py events history
Kde sa budú udalosti zobrazovať. Rovnakým spôsobom je možné ich filtrovať podľa dní alebo rôznych špeciálnych možností.
Napr.
usbrip events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
O
python3 usbrip.py events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
Touto akciou sa v období od 10. do 15. októbra zobrazia informácie o všetkých externých zariadeniach USB pripojených k zariadeniu.
Na prácu s filtrami. K dispozícii sú 4 typy filtrovania: iba externé udalosti USB (zariadenia, ktoré sa dajú ľahko odstrániť -e); podľa dátumu (-d); podľa polí (–user, –vid, –pid, –product, –manufact, –serial, –port) a počtom vstupov získaných ako výstup (-n).
Generovanie súboru JSON s udalosťami:
usbrip events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
O
python3 usbrip.py events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
Ktorý bude obsahovať informácie o prvých 10 zariadeniach pripojených 30. októbra 2019.
Ak sa chcete dozvedieť viac o použití tohto nástroja, môžete skontrolujte nasledujúci odkaz.