Када је системски администратор обично у року од лнајвише свакодневне задатке које обично обављају (поред креирања и опоравка лозинки за е-пошту), постоји одржавање и надзор опреме.
Тамо где су генерално, да би се избегли толики проблеми, функционалности опреме у погледу инсталације апликација обично су ограничене и поред тога што уводе одређена ограничења у оквиру пословне мреже. У овим уобичајеним задацима, многи имају тенденцију да потцењују особље који користи опрему, извршавајући само једноставна ограничења.
Мало администратора система који су одговорни за Линук рачунаре да самостално компајлирају језгро да бисте могли да извршите ограничења, где се УСБ портови углавном заобилазе.
Овде долази сјајан алат. које сам пронашао на интернет сурфовању. Његово име је Усбрип, који по речима његовог творца
„То је форензички алат отвореног кода са ЦЛИ интерфејсом који вам омогућава да пратите артефакте УСБ уређаја (тј. Историју УСБ догађаја) на Линук машинама“
УСБРип вам омогућава преглед јасније брзо анализом дневника Линука. Овај мали софтвер написан на чистом Питхону 3 (користећи неке спољне модуле) који рашчлањује датотеке дневника Линук-а ( / вар / лог / сислог * и / вар / лог / мессагес * у зависности од дистрибуције) за израду табела историје УСБ догађаја.
У оквиру података које пружате, приказује се следеће: Датум и време пријаве, корисник, ИД добављача, ИД производа, произвођач, серијски број, порт и датум и време одјаве.
Поред тога, можете и:
- Извоз прикупљених података као одлагалиште ЈСОН (и отварање таквих одлагалишта, наравно);
- генеришите листу овлашћених (поузданих) УСБ уређаја као ЈСОН (назовите аутх.јсон).
- Потражите догађаје „кршења“ засноване на аутх.јсон: прикажите (или генеришите други помоћу ЈСОН-а) УСБ уређаје који се појављују у историји и не појављују у аутх.јсон.
- Када се инсталира са -с *, он креира шифроване складишта (7зип архиве) за аутоматско прављење резервних копија и акумулирање УСБ догађаја уз помоћ цронтаб-а. Поред могућности претраживања додатних детаља о одређеном УСБ уређају на основу његових ВИД и / или ПИД података.
Како инсталирати Усбрип на Линук?
За оне који су заинтересовани за могућност инсталирања овог алата, мора да има инсталиран Питхон 3 на вашем систему као и пип (Питхонов систем управљања пакетима)
Да бисте инсталирали Усбрип само отворите терминал и у њега унесите следећу команду:
pip3 install usbrip
pip install terminaltables termcolor
pip install tqdm
Сада на исти начин могу да преузму код пројекта и одатле користе алат. Да би то урадили, потребно је само да укуцају са терминала:
git clone https://github.com/snovvcrash/usbrip.git usbrip
А онда у директоријум улазе са:
cd usbrip
А зависности решавамо са:
python3 -m venv venv && source venv/bin/activate
Усбрип употреба
Коришћење овог алата је релативно једноставно. Тако да да бисмо видели историју догађаја само извршавамо следећу команду:
usbrip events history
O
python3 usbrip.py events history
Где ће бити приказани догађаји. На исти начин, могу се филтрирати по данима или низима посебних.
На пример
usbrip events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
O
python3 usbrip.py events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
Овом радњом ће се приказати подаци свих спољних УСБ уређаја повезаних са опремом у периоду од 10. до 15. октобра.
За рад са филтерима. Доступне су 4 врсте филтрирања: само спољни УСБ догађаји (уређаји који се лако могу уклонити -е); по датуму (-д); по пољима (–корисник, –вид, –пид, –производ, –производ, –серијски, –порт) и по броју улаза добијених као излаз (-н).
Да бисте генерисали ЈСОН датотеку са догађајима:
usbrip events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
O
python3 usbrip.py events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
Који ће садржати информације о првих 10 уређаја повезаних 30. октобра 2019.
Ако желите да сазнате више о употреби овог алата, можете проверите следећу везу.