เมื่อเป็นเช่นนั้น ผู้ดูแลระบบมักจะอยู่ภายใน lงานประจำวันส่วนใหญ่ที่พวกเขามักจะทำ (นอกเหนือจากการสร้างและกู้คืนรหัสผ่านอีเมล) มีการบำรุงรักษาและการดูแลอุปกรณ์
โดยทั่วไปเพื่อหลีกเลี่ยงปัญหามากมายฟังก์ชันการทำงานของอุปกรณ์ในแง่ของการติดตั้งแอปพลิเคชันมักมีข้อ จำกัด และนอกเหนือไปจากการ จำกัด บางอย่างภายในเครือข่ายธุรกิจ ในงานทั่วไปเหล่านี้หลายคนมักจะประเมินพนักงานต่ำเกินไป ใครใช้อุปกรณ์โดยปฏิบัติตามข้อ จำกัด ง่ายๆเท่านั้น
ผู้ดูแลระบบไม่กี่คน ของระบบ ผู้รับผิดชอบคอมพิวเตอร์ Linux ในการคอมไพล์เคอร์เนลด้วยตนเอง เพื่อให้สามารถดำเนินการตามข้อ จำกัด โดยทั่วไปพอร์ต USB จะถูกข้าม
นี่คือที่มาของเครื่องมือที่ยอดเยี่ยม ที่ฉันพบในการท่องเน็ต ชื่อของเขาคือ ยูเอสบีริปซึ่งในคำพูดของผู้สร้าง
"เป็นเครื่องมือทางนิติวิทยาศาสตร์แบบโอเพนซอร์สที่มีอินเทอร์เฟซ CLI ที่ช่วยให้คุณติดตามสิ่งประดิษฐ์ของอุปกรณ์ USB (เช่นประวัติเหตุการณ์ USB) บนเครื่อง Linux"
USBRip ช่วยให้คุณดู ชัดเจนขึ้นอย่างรวดเร็ว โดยการวิเคราะห์บันทึกของ Linux ซอฟต์แวร์ตัวเล็ก ๆ นี้เขียนด้วย Python 3 แท้ (โดยใช้โมดูลภายนอกบางตัว) ที่แยกวิเคราะห์ไฟล์บันทึกของ Linux ( / var / log / syslog * และ / var / log / messages * ขึ้นอยู่กับการกระจาย) เพื่อสร้างตารางประวัติเหตุการณ์ USB
ภายในข้อมูลที่คุณให้จะมีการแสดงข้อมูลต่อไปนี้: วันที่และเวลาในการเข้าสู่ระบบผู้ใช้ ID ผู้ให้บริการ ID ผลิตภัณฑ์ผู้ผลิตหมายเลขซีเรียลพอร์ตและวันที่และเวลาในการล็อกเอาต์
นอกจากนี้คุณยังสามารถ:
- ส่งออกข้อมูลที่รวบรวมเป็นดัมพ์ JSON (และแน่นอนเปิดดัมพ์ดังกล่าว);
- สร้างรายการอุปกรณ์ USB ที่ได้รับอนุญาต (เชื่อถือได้) เป็น JSON (เรียกว่า auth.json)
- ค้นหาเหตุการณ์ "การละเมิด" ตาม auth.json: แสดง (หรือสร้างขึ้นใหม่ด้วย JSON) อุปกรณ์ USB ที่ปรากฏในประวัติและไม่ปรากฏใน auth.json
- เมื่อติดตั้งด้วย -s * จะสร้างที่เก็บข้อมูลที่เข้ารหัส (ไฟล์เก็บถาวร 7zip) เพื่อสำรองและสะสมเหตุการณ์ USB โดยอัตโนมัติด้วยความช่วยเหลือของ crontab นอกเหนือจากความสามารถในการค้นหารายละเอียดเพิ่มเติมเกี่ยวกับอุปกรณ์ USB เฉพาะตาม VID และ / หรือ PID
จะติดตั้ง Usbrip บน Linux ได้อย่างไร?
สำหรับผู้ที่สนใจสามารถติดตั้งเครื่องมือนี้ได้ ต้องติดตั้ง Python 3 บนระบบของคุณเช่นเดียวกับ pip (ระบบจัดการแพ็คเกจของ Python)
ในการติดตั้ง Usbrip เพียงแค่เปิดเทอร์มินัลแล้วพิมพ์คำสั่งต่อไปนี้:
pip3 install usbrip
pip install terminaltables termcolor
pip install tqdm
ตอนนี้ในทางเดียวกัน พวกเขาสามารถดาวน์โหลดรหัสโครงการและใช้เครื่องมือได้จากที่นั่น ในการดำเนินการนี้พวกเขาจะต้องพิมพ์จากเทอร์มินัลเท่านั้น:
git clone https://github.com/snovvcrash/usbrip.git usbrip
จากนั้นเข้าสู่ไดเรกทอรีด้วย:
cd usbrip
และเราแก้ไขการอ้างอิงด้วย:
python3 -m venv venv && source venv/bin/activate
การใช้งาน Usbrip
การใช้เครื่องมือนี้ค่อนข้างตรงไปตรงมา ดังนั้น หากต้องการดูประวัติของเหตุการณ์เราเพียงดำเนินการคำสั่งต่อไปนี้:
usbrip events history
O
python3 usbrip.py events history
สถานที่จัดกิจกรรม ในทำนองเดียวกันสามารถกรองตามวันหรือช่วงพิเศษได้.
ตัวอย่างเช่น
usbrip events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
O
python3 usbrip.py events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
ด้วยการดำเนินการนี้ข้อมูลของอุปกรณ์ USB ภายนอกทั้งหมดที่เชื่อมต่อกับอุปกรณ์จะแสดงในช่วงระหว่างวันที่ 10 ถึง 15 ตุลาคม
เพื่อทำงานกับตัวกรอง มีการกรอง 4 ประเภท: เฉพาะเหตุการณ์ USB ภายนอก (อุปกรณ์ที่สามารถถอดออกได้อย่างง่ายดาย -e); ตามวันที่ (-d); ตามช่อง (–user, –vid, –pid, –product, –manufact, –serial, –port) และตามจำนวนอินพุตที่ได้รับเป็นเอาต์พุต (-n)
ในการสร้างไฟล์ JSON พร้อมเหตุการณ์:
usbrip events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
O
python3 usbrip.py events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
ซึ่งจะมีข้อมูลเกี่ยวกับอุปกรณ์ 10 เครื่องแรกที่เชื่อมต่อในวันที่ 30 ตุลาคม 2019
หากคุณต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับการใช้เครื่องมือนี้คุณสามารถทำได้ ตรวจสอบลิงค์ต่อไปนี้