När det är en systemadministratör vanligtvis inom lde vanligaste uppgifterna de brukar göra (förutom att skapa och återställa e-postlösenord), det finns underhåll och övervakning av utrustningen.
Där generellt för att undvika så många problem, är utrustningens funktioner när det gäller applikationsinstallation vanligtvis begränsade och förutom att göra vissa begränsningar inom företagsnätverket. I dessa vanliga uppgifter tenderar många att underskatta personalen som använder utrustningen genom att bara utföra enkla begränsningar.
Få administratörer av system som ansvarar för Linux-datorer för att kompilera Kärnan på egen hand för att kunna utföra begränsningarna som i allmänhet kringgår USB-portar.
Det är här ett bra verktyg kommer in. som jag hittade på nätet surfa. Hans namn är usbrip, som med dess skapares ord
"Det är ett kriminaltekniskt verktyg med öppen källkod med CLI-gränssnitt som låter dig hålla reda på artefakter av USB-enheter (t.ex. USB-händelseshistorik) på Linux-maskiner."
USBRip låter dig se tydligare snabbt genom att analysera Linux-loggarna. Den här lilla programvaran skriven i ren Python 3 (med några externa moduler) som analyserar Linux-loggfiler ( / var / log / syslog * och / var / log / meddelanden * beroende på distribution) för att bygga USB-händelseshistoriktabeller.
Inom den information du gervisas följande: Datum och tid för inloggning, användare, leverantörens ID, produktens ID, tillverkare, serienummer, port och datum och tid för utloggning.
Dessutom kan du också:
- Exportera insamlad information som en JSON-dumpning (och naturligtvis öppna sådana dumpningar);
- skapa en lista över auktoriserade (betrodda) USB-enheter som JSON (kall det auth.json).
- Sök efter "överträdelseshändelser" baserat på auth.json: visa (eller skapa en annan med JSON) USB-enheter som visas i historiken och inte visas i auth.json.
- När den installeras med -s * skapas krypterade lagringar (7zip-arkiv) för att säkerhetskopiera och ackumulera USB-händelser automatiskt med hjälp av crontab. Förutom att kunna söka i ytterligare detaljer om en specifik USB-enhet baserat på dess VID och / eller PID.
Hur installerar jag Usbrip på Linux?
För dem som är intresserade av att kunna installera det här verktyget, måste ha Python 3 installerat på ditt system såväl som pip (Pythons pakethanteringssystem)
För att installera Usbrip öppna bara en terminal och skriv följande kommando i den:
pip3 install usbrip
pip install terminaltables termcolor
pip install tqdm
Nu på samma sätt de kan ladda ner projektkoden och använda verktyget därifrån. För att göra detta behöver de bara skriva från en terminal:
git clone https://github.com/snovvcrash/usbrip.git usbrip
Och gå sedan in i katalogen med:
cd usbrip
Och vi löser beroenden med:
python3 -m venv venv && source venv/bin/activate
Usbrip-användning
Att använda detta verktyg är relativt enkelt. Så att för att se händelseshistoriken utför vi bara följande kommando:
usbrip events history
O
python3 usbrip.py events history
Var händelserna visas. På samma sätt kan de filtreras efter dagar eller en rad specialerbjudanden.
T.ex.
usbrip events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
O
python3 usbrip.py events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
Med den här åtgärden visas informationen om alla externa USB-enheter som är anslutna till utrustningen under perioden från 10 till 15 oktober.
Att arbeta med filter. Det finns fyra typer av filtrering tillgängliga: endast externa USB-händelser (enheter som enkelt kan tas bort -e); efter datum (-d); efter fält (–användare, –vid, –pid, –produkt, –tillverkning, –serie, –port) och efter antalet ingångar som erhållits som utgång (-n).
Så här genererar du en JSON-fil med händelserna:
usbrip events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
O
python3 usbrip.py events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
Vilken kommer att innehålla information om de första 10 enheterna som är anslutna den 30 oktober 2019.
Om du vill veta mer om användningen av det här verktyget kan du kolla följande länk.