มีแอพพลิเคชั่นหรือวิธีการบันทึกการถ่ายโอนข้อมูลหรือไม่?

9

เพื่อนของฉันขอไฟล์บางไฟล์ที่ฉันอนุญาตให้เขานำออกจากระบบของฉัน ฉันไม่เห็นเขาทำอย่างนั้น ถ้าอย่างนั้นฉันก็มีข้อสงสัย: เขาใช้ไฟล์หรือข้อมูลอะไรเพิ่มเติมจากระบบของฉัน?

ผมคิดว่าอยู่ที่นี่ใด ๆแอพลิเคชันหรือวิธีการซึ่งแสดงให้เห็นว่าสิ่งที่ข้อมูลจะถูกคัดลอกไปที่ USB (ถ้าชื่อที่มีอยู่แล้วชื่อที่แสดงให้เห็นเป็นอย่างอื่นหรืออุปกรณ์ ID) และข้อมูลที่จะถูกคัดลอกไปยังเครื่องอูบุนตู มันเป็นเหมือนประวัติของ USB และข้อมูลระบบ ฉันคิดว่าคุณสมบัตินี้มีอยู่KDE

สิ่งนี้จะมีประโยชน์จริงๆในหลาย ๆ ทาง มันมีเรียลไทม์และยูทิลิตี้การตรวจสอบเพื่อตรวจสอบกิจกรรมอุปกรณ์จัดเก็บข้อมูล USB บนเครื่องใด ๆ

software-recommendation  usb  security 
twister_void
แหล่งที่มา
ตรวจสอบความรู้แจ้ง มันเป็น API ไม่ใช่โปรแกรมที่ใช้งานนอกกรอบ ibm.com/developerworks/linux/library/l-ubuntu-inotify/ ......มันอาจช่วยให้คุณค้นหาเคียวรีเอ็นจินการค้นหาเครื่องมือได้ดีขึ้น
jippie
ข้อมูลใดถูกคัดลอกไปยัง USB - ฉันคิดว่าคุณหมายถึงข้อมูลเป็นไฟล์ใด ๆ ในพาร์ติชันที่เมาท์ทั้งหมด แต่การคัดลอกไฟล์ระบบที่อนุญาตให้คุณอ่านในฐานะผู้ใช้ไม่เป็นอันตรายทำให้ไฟล์ระบบที่ละเอียดอ่อนเป็นของผู้ใช้รูท ดังนั้นเพื่อนของคุณไม่สามารถอ่านได้โดยไม่มีรหัสผ่าน sudo ขวา? เหตุผลนี้ใช้ได้กับการเขียนจาก usb ไปยังไฟล์ระบบ เป็นไปไม่ได้ที่จะเขียนถึงพวกเขาโดยไม่ทราบว่ารหัสผ่าน sudo ดังนั้นข้อมูลที่หมายความว่าเนื้อหาหน้าแรก $ ถูกต้องหรือไม่
zuba
คุณต้องการดูข้อมูลอะไรใน $ HOME ~ / Documents ?, ~ / .cofig ?, ~ / .anything_else?
zuba

คำตอบ:

4

ปรากฏว่าinotifywatchสามารถทำงานได้ อ้างถึงไอบีเอ็มเอกสารอ้างอิงฉันในความคิดเห็นข้างต้นสำหรับข้อมูลเพิ่มเติมและหน้าคู่มือของมัน ติดตั้ง:

apt-cache search inotify
  • inotifywait - รอการเปลี่ยนแปลงไฟล์โดยใช้ inotify
  • inotifywatch - รวบรวมสถิติการเข้าถึงระบบไฟล์โดยใช้ inotify
jippie
แหล่งที่มา
4

คุณสามารถทำได้:

1) ตรวจสอบไฟล์: /var/log/kern.logและ/var/log/kern.log.1ค้นหาเวลาและวันที่เพื่อนของคุณเชื่อมต่อที่เก็บข้อมูลขนาดใหญ่ usb ตัวอย่างเช่น mine พูดว่า: 

9 เม.ย. 13:41:37 desguai7 เคอร์เนล: [16788.372616] การสนับสนุน USB Mass Storage
9 เมษายน 13:41:38 desguai7 เคอร์เนล: [16789.370861] scsi 6: 0: 0: 0: การเข้าถึงโดยตรง SanDisk Cruzer Blade 1.20 PQ: 0 ANSI: 5
9 เมษายน 13:41:38 desguai7 เคอร์เนล: [16789.386614] sd 6: 0: 0: 0: แนบ scsi สามัญ sg2 ประเภท 0
9 เม.ย. 13:41:38 desguai7 เคอร์เนล: [16789.390966] sd 6: 0: 0: 0: [sdb] 15633408 บล็อกตรรกะ 512 ไบต์: (8.00 GB / 7.45 GiB)
9 เมษายน 13:41:38 desguai7 เคอร์เนล: [16789.392246] sd 6: 0: 0: 0: [sdb] การเขียนการป้องกันถูกปิด
9 เมษายน 13:41:38 desguai7 เคอร์เนล: [16789.392258] sd 6: 0: 0: 0: [sdb] ความรู้สึกโหมด: 43 00 00 00
9 เมษายน 13:41:38 desguai7 เคอร์เนล: [16789.392980] sd 6: 0: 0: 0: [sdb] เขียนแคช: ปิดใช้งานอ่านแคช: เปิดใช้งานไม่รองรับ DPO หรือ FUA
9 เม.ย. 13:41:38 เคอร์เนล desguai7: [16789.401326] sdb: sdb1
9 เมษายน 13:41:38 desguai7 เคอร์เนล: [16789.404486] sd 6: 0: 0: 0: [sdb] ดิสก์แบบถอดได้ SCSI ที่แนบมาด้วย

ดังนั้นวันที่ 9 เมษายนเวลา 13:41 น. (13:41 น.) มีการลงทะเบียน USB Mass Storage (เชื่อมต่อ) ที่คอมพิวเตอร์ของฉัน

2) ตอนนี้ให้ดูครั้งล่าสุดที่บางไฟล์เข้าถึงและค้นหาวันที่ตรงกัน เปิดเทอร์มินัลแล้ววางสิ่งนี้: 

find ~/the/folder/noone/should/have/looked/ -exec stat -c %n%x "{}" \; | grep "2012-04-09 13:41"

คุณจะถูกนำเสนอด้วยชื่อไฟล์ที่เข้าถึงได้ในเวลาที่มีการเชื่อมต่อที่เก็บข้อมูลขนาดใหญ่ usb

เคล็ดลับเล็กน้อย:

คุณสามารถใช้ wildcard ด้วย grep เช่นเปลี่ยนgrep "2012-04-09 13:41"เพื่อgrep "2012-04-09 13:4[1234]"ให้เข้าถึงไฟล์ทั้งหมดได้ตั้งแต่ 13:41 ถึง 13:44

ป.ล. : มันจะไม่ทำงานถ้าคุณได้เข้าถึงไฟล์หลังจากเพื่อนของคุณ

desgua
แหล่งที่มา
คุณน่าจะต้องตรวจสอบทุกช่วงเวลาจากนั้นจนกว่าคุณจะแน่ใจว่าเขาได้ทำการคัดลอกเสร็จแล้ว (เมื่อ kern.log แสดงการถอด USB?) ซึ่งจะมีคำสั่ง find / grep มากมายหากเขาอยู่ที่นั่นนาน 5 นาที เป็นไปไม่ได้ แต่คุณจะต้องมีสคริปต์
Huckle
1
เขาจะเปลี่ยนส่วน (... ) grep "2012-04-09 13:41"เพื่อgrep "2012-04-09 13:4"ให้สามารถเข้าถึงไฟล์ทั้งหมดได้ตั้งแต่ 13:40 ถึง 13:49
desgua
1
หรือเขาสามารถเปลี่ยนgrep "2012-04-09 13:41"เพื่อgrep "2012-04-09 13:4[1234]"ให้เข้าถึงไฟล์ทั้งหมดจาก 13:41 เป็น 13:44
desgua
@ นี่อาจเป็นงานที่วุ่นวายมากขึ้นมีวิธีง่าย ๆ ไหม
twister_void
วางgedit /var/log/kern.logบนเทอร์มินัล Ctrl + F เพื่อหา "มวล usb" ตรวจสอบวันและเวลาที่เพื่อนของคุณต่อ USB ของเขาและคุณเกือบเสร็จแล้ว ในที่สุดก็เปิดเทอร์มินัลแล้ววางคำสั่งเพื่อเปลี่ยนวันที่และเวลา ทำแบบทดสอบ ;-)
desgua
3

เชื่อฉันเถอะนิสัยดีอย่างหนึ่งคุ้มค่ากับซอฟต์แวร์มากมาย (และน่าเชื่อถือกว่า) อย่าปล่อยให้คนอื่นเซสชั่นของคุณ เพียงคัดลอกไฟล์ที่คุณขอด้วยตัวคุณเองและรู้สึกดี

ps ไม่มีซอฟต์แวร์ความปลอดภัยที่ดีพอสำหรับคนที่ไม่ปลอดภัย

Zuba
แหล่งที่มา
ใช่แล้วก็คิดเช่นกันในขณะที่ขับรถไปทำงานเช้านี้ นี่คือเหตุผลว่าทำไมบัญชีผู้ใช้กรรมสิทธิ์และการอนุญาตไฟล์มีอยู่ (+1) การแก้ปัญหาที่กล่าวถึงที่นี่เป็นคำตอบสำหรับคำถามที่รับผิดชอบได้มากขึ้น
jippie
2

หลังจากครึ่งชั่วโมงหาทางแก้ปัญหาบนอินเทอร์เน็ต (ซึ่งฉันก็อยากจะหาด้วย) ฉันไม่พบซอฟต์แวร์ที่จะทำ แต่นี่อาจเป็นทางเลือก: https://launchpad.net/ubuntu/lucid / amd64 / loggedfs

มันตรวจสอบ I / O ของระบบไฟล์ด้วย "grep" บางอย่างคุณอาจจะสามารถแสดงข้อมูลที่คุณกำลังมองหา?

Bahaïka
แหล่งที่มา
คุณเชื่อถือไฟล์ของคุณเพื่อความปลอดภัยในการรักษาระบบไฟล์ ตรวจสอบให้แน่ใจว่าคุณต้องการเริ่มใช้ระบบไฟล์ที่ไม่มีการอัพเดตตั้งแต่ปี 2008-09-03 ( sourceforge.net/projects/loggedfs/files/loggedfs ) ฉันจะไม่เชื่อถือไฟล์ของฉันหากไม่มีการสำรองข้อมูลตามปกติ
jippie
0

wiresharkสามารถตรวจสอบข้อมูลทั้งหมดที่ถ่ายโอนผ่าน USB แม้ว่าแอปพลิเคชั่นนี้จะใช้เป็นหลักในการตรวจสอบการถ่ายโอนเครือข่าย แต่ช่วยให้คุณสามารถจับภาพแพคเกจ USB ได้เช่นกัน โปรดทราบว่าวิธีนี้คุณจะไม่ได้รับเพียงแค่รายการไฟล์ แต่เป็นการแสดงแบบไบต์ต่อไบต์ของการสนทนาแบบเต็มระหว่างคอมพิวเตอร์และไดรฟ์ อย่างไรก็ตามวิธีนี้คุณสามารถมั่นใจได้อย่างสมบูรณ์ว่าไม่มีสิ่งใดถูกซ่อนไว้จากคุณ!

RafałCieślak
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.