Khi nó là quản trị viên hệ thống thường trong lnhững công việc hàng ngày họ thường làm (ngoài việc tạo và khôi phục mật khẩu email), có sự bảo trì và giám sát của thiết bị.
Nhìn chung, để tránh nhiều vấn đề như vậy, các chức năng của thiết bị về cài đặt ứng dụng thường bị hạn chế và ngoài ra còn có một số hạn chế trong mạng doanh nghiệp. Trong những nhiệm vụ chung này, nhiều người có xu hướng đánh giá thấp nhân viên người sử dụng thiết bị, bằng cách chỉ thực hiện các giới hạn đơn giản.
Ít quản trị viên của hệ thống những người phụ trách máy tính Linux để tự biên dịch hạt nhân để có thể thực hiện các hạn chế, thường bỏ qua cổng USB.
Đây là nơi một công cụ tuyệt vời xuất hiện. mà tôi tìm thấy trên mạng lướt web. Tên anh ta là usbrip, theo lời của người tạo ra nó
"Nó là một công cụ pháp y mã nguồn mở với giao diện CLI cho phép bạn theo dõi các hiện vật thiết bị USB (tức là lịch sử sự kiện USB) trên các máy Linux"
USBRip cho phép bạn xem rõ ràng hơn một cách nhanh chóng bằng cách phân tích nhật ký Linux. Phần mềm nhỏ này được viết bằng Python 3 thuần túy (sử dụng một số mô-đun bên ngoài) phân tích cú pháp các tệp nhật ký Linux ( / var / log / syslog * và / var / log / messages * tùy thuộc vào phân phối) để xây dựng bảng lịch sử sự kiện USB.
Trong thông tin bạn cung cấp, nội dung sau được hiển thị: Ngày và giờ đăng nhập, người dùng, ID nhà cung cấp, ID sản phẩm, nhà sản xuất, số sê-ri, cổng và ngày và giờ đăng xuất.
Ngoài ra, bạn cũng có thể:
- Xuất thông tin đã thu thập dưới dạng kết xuất JSON (tất nhiên là mở các kết xuất đó);
- tạo danh sách các thiết bị USB được ủy quyền (đáng tin cậy) dưới dạng JSON (gọi nó là auth.json).
- Tìm các sự kiện "vi phạm" dựa trên auth.json: hiển thị (hoặc tạo một thiết bị USB khác bằng JSON) xuất hiện trong lịch sử và không xuất hiện trong auth.json.
- Khi được cài đặt với -s *, nó tạo ra các kho lưu trữ được mã hóa (tệp 7zip) để tự động sao lưu và tích lũy các sự kiện USB với sự trợ giúp của crontab. Ngoài việc có thể tìm kiếm các chi tiết bổ sung về một thiết bị USB cụ thể dựa trên VID và / hoặc PID của nó.
Làm thế nào để cài đặt Usbrip trên Linux?
Đối với những người quan tâm đến việc có thể cài đặt công cụ này, phải cài đặt Python 3 trên hệ thống của bạn cũng như pip (hệ thống quản lý gói của Python)
Để cài đặt Usbrip chỉ cần mở một thiết bị đầu cuối và nhập lệnh sau:
pip3 install usbrip
pip install terminaltables termcolor
pip install tqdm
Bây giờ theo cùng một cách họ có thể tải xuống mã dự án và sử dụng công cụ từ đó. Để làm điều này, họ chỉ phải nhập từ một thiết bị đầu cuối:
git clone https://github.com/snovvcrash/usbrip.git usbrip
Và sau đó nhập thư mục với:
cd usbrip
Và chúng tôi giải quyết các phụ thuộc bằng:
python3 -m venv venv && source venv/bin/activate
Sử dụng Usbrip
Sử dụng công cụ này tương đối đơn giản. Vậy nên để xem lịch sử của các sự kiện, chúng ta chỉ cần thực hiện lệnh sau:
usbrip events history
O
python3 usbrip.py events history
Nơi các sự kiện sẽ được hiển thị. Theo cách tương tự, chúng có thể được lọc theo ngày hoặc một loạt các.
Ví dụ:
usbrip events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
O
python3 usbrip.py events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
Với hành động này, thông tin của tất cả các thiết bị USB bên ngoài được kết nối với thiết bị sẽ được hiển thị trong khoảng thời gian từ ngày 10 đến ngày 15 tháng XNUMX.
Để làm việc với các bộ lọc. Có 4 loại lọc có sẵn: chỉ các sự kiện USB bên ngoài (thiết bị có thể dễ dàng tháo ra -e); theo ngày (-d); theo các trường (–user, –vid, –pid, –product, –man production, –serial, –port) và theo số lượng đầu vào thu được dưới dạng đầu ra (-n).
Để tạo tệp JSON với các sự kiện:
usbrip events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
O
python3 usbrip.py events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
Trong đó sẽ chứa thông tin về 10 thiết bị đầu tiên được kết nối vào ngày 30 tháng 2019 năm XNUMX.
Nếu bạn muốn biết thêm về việc sử dụng công cụ này, bạn có thể kiểm tra liên kết sau.