幾時 通常在l之內的系統管理員他們通常執行的最日常任務 (除了創建和恢復電子郵件密碼外), 對設備進行維護和監督。
通常,為了避免這麼多問題,通常會限制設備在應用程序安裝方面的功能,此外還會在業務網絡中進行一些限制。 在這些常見任務中,許多人往往會低估員工 使用設備的人,只需執行簡單的限制即可。
很少的管理員 系統數 負責Linux計算機自行編譯內核的人 為了能夠執行通常繞過USB端口的限制。
這是一個很棒的工具出現的地方。 我在網上沖浪時發現的。 他的名字是 烏斯布里普,以其創造者的話來說
“它是帶有CLI界面的開源取證工具,可讓您跟踪Linux機器上的USB設備工件(即USB事件歷史記錄)”
USBRip讓您看到 更清楚地快速 通過分析Linux日誌。 這個純Python 3(使用某些外部模塊)編寫的小軟件可以解析Linux日誌文件( / var / log / syslog *和/ var / log / message * 取決於分佈)以建立USB事件歷史記錄表。
在您提供的信息中,將顯示以下內容:登錄日期和時間,用戶,提供商的ID,產品ID,製造商,序列號,端口以及註銷日期和時間。
此外,您還可以:
- 將收集到的信息導出為JSON轉儲(當然,並打開此類轉儲);
- 生成授權(受信任)USB設備的列表作為JSON(稱為auth.json)。
- 搜索基於auth.json的“違規”事件:顯示(或使用JSON生成另一個)出現在歷史記錄中而不出現在auth.json中的USB設備。
- 與-s *一起安裝時,它將在crontab的幫助下創建加密的存儲(7zip存檔)以自動備份和累積USB事件。 除了能夠基於其VID和/或PID搜索有關特定USB設備的其他詳細信息之外。
如何在Linux上安裝Usbrip?
對於那些對能夠安裝此工具感興趣的人, 必須安裝Python 3 在您的系統上以及pip(Python的軟件包管理系統)上
安裝Usbrip 只需打開一個終端並在其中鍵入以下命令:
pip3 install usbrip
pip install terminaltables termcolor
pip install tqdm
現在以同樣的方式 他們可以下載項目代碼並從那裡使用該工具。 為此,他們只需要從終端輸入:
git clone https://github.com/snovvcrash/usbrip.git usbrip
然後,他們使用以下命令進入目錄:
cd usbrip
我們用以下方法解決依賴關係:
python3 -m venv venv && source venv/bin/activate
Usbrip用法
使用此工具相對簡單。 以便 要查看事件的歷史記錄,我們只需執行以下命令:
usbrip events history
O
python3 usbrip.py events history
事件將在何處顯示。 同樣,可以按天或一系列特殊條件過濾它們.
例如
usbrip events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
O
python3 usbrip.py events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"
通過此操作,將在10月15日至XNUMX日期間顯示連接到該設備的所有外部USB設備的信息。
使用過濾器。 共有4種過濾類型: 僅外部USB事件(可以輕鬆刪除的設備-e); 按日期(-d); 按字段(-user,-vid,-pid,-product,-manufact,-serial,-port)和輸入作為輸出的數量(-n)。
要生成帶有事件的JSON文件:
usbrip events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
O
python3 usbrip.py events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'
其中將包含有關10年30月2019日連接的前XNUMX個設備的信息。
如果您想進一步了解此工具的使用,可以 檢查以下鏈接。