Есть ли приложение или метод для регистрации передачи данных?

9

Мой друг попросил у меня несколько файлов, которые я позволил ему взять из моей системы. Я не видел, как он это делает. Тогда у меня осталось сомнение: какие дополнительные файлы или данные он взял из моей системы?

Я думал, что здесь есть какое-либо приложение или метод, который показывает, какие данные копируются на какой USB-носитель (если имя доступно, затем показывает имя или другой идентификатор устройства) и какие данные копируются на компьютер с Ubuntu . Это что-то вроде истории USB и системных данных. Я думаю, что эта функция существует вKDE

Это будет очень полезно во многих отношениях. Он предоставляет утилиту мониторинга в реальном времени и мониторинга активности запоминающих устройств USB на любом компьютере.

software-recommendation usb security twister_void
источник
Проверьте inotify. Это API, а не программа для использования из коробки. ibm.com/developerworks/linux/library/l-ubuntu-inotify/… Это может помочь вам улучшить запросы поисковых систем для поиска инструментов.
Джиппи
какие данные копируются на какой USB - думаю, вы имели в виду данные как любой файл во всех смонтированных разделах. Но копирование системных файлов, которые разрешено читать как пользователю, не опасно, потому что конфиденциальные системные файлы принадлежат пользователю root. Так что ваш друг не мог прочитать их без пароля sudo. Правильно? Эта причина применима к записи с usb в системные файлы. Писать в них невозможно, не зная пароля sudo. Таким образом, данные означают ваш контент $ HOME . Это верно?
Зуба
И какие данные в $ HOME вы хотите отслеживать? ~ / Documents ?, ~ / .cofig ?, ~ / .anything_else?
Зуба

Ответы:

4

Похоже, что inotifywatchможет сделать работу. Обратитесь к документу IBM, на который я ссылаюсь в комментарии выше, для получения дополнительной информации и к его странице руководства . Установить:

apt-cache search inotify
  • inotifywait - ждать изменений в файлах, используя inotify
  • inotifywatch - собирать статистику доступа к файловой системе, используя inotify
jippie
источник
4

Ты можешь сделать это:

1) Проверьте файлы: /var/log/kern.logи /var/log/kern.log.1найдите время и дату, когда ваш друг подключил USB-накопитель. Например, мой говорит: 

9 апреля, 13:41:37 desguai7 kernel: [16788.372616] Зарегистрирована поддержка USB Mass Storage.
9 апреля 13:41:38 desguai7 ядро: [16789.370861] scsi 6: 0: 0: 0: SanDisk Cruzer Blade с прямым доступом 1,20 PQ: 0 ANSI: 5
9 апреля 13:41:38 desguai7 kernel: [16789.386614] sd 6: 0: 0: 0: Прикрепленный scsi универсальный тип sg2 0
9 апреля 13:41:38 desguai7 ядро: [16789.390966] SD 6: 0: 0: 0: [SDB] 15633408 512-байтовые логические блоки: (8,00 ГБ / 7,45 ГБ)
9 апреля 13:41:38 desguai7 ядро: [16789.392246] SD 6: 0: 0: 0: [SDB] Защита от записи отключена
9 апреля 13:41:38 desguai7 ядро: [16789.392258] SD 6: 0: 0: 0: [SDB] Sense режима: 43 00 00 00
9 апреля 13:41:38 desguai7 ядро: [16789.392980] SD 6: 0: 0: 0: [SDB] Кэш записи: отключен, кэш чтения: включен, не поддерживает DPO или FUA
9 апреля 13:41:38 desguai7 ядро: [16789.401326] sdb: sdb1
9 апреля 13:41:38 desguai7 ядро: [16789.404486] SD 6: 0: 0: 0: [SDB] Подключенный съемный диск SCSI

Итак, 9 апреля в 13:41 (13:41) USB-накопитель был зарегистрирован (подключен) на моем компьютере.

2) Теперь давайте посмотрим, когда в последний раз к некоторым файлам обращались, и ищем подходящие даты. Откройте терминал и вставьте это: 

find ~/the/folder/noone/should/have/looked/ -exec stat -c %n%x "{}" \; | grep "2012-04-09 13:41"

Вам будут представлены имена файлов, к которым обращались в момент подключения USB-накопителя.

Маленькая хитрость:

Вы можете использовать шаблоны с Grep, как меняется grep "2012-04-09 13:41"для того grep "2012-04-09 13:4[1234]"чтобы получить все файлы доступны с 13:41 до 13:44.

PS: Это не будет работать, если вы получили доступ к файлу после вашего друга.

desgua
источник
Вам, вероятно, придется проверять каждый момент с тех пор, пока вы не будете уверены, что он закончил копирование (когда kern.log показывает удаление USB?). Что будет много операторов find / grep, если он был там даже 5 минут. Не невозможно, но вам понадобится сценарий.
Huckle
1
Он бы просто изменить часть (...) grep "2012-04-09 13:41"для того grep "2012-04-09 13:4"чтобы получить все файлы доступны с 13:40 до 13:49.
Desgua
1
Или он мог бы изменить grep "2012-04-09 13:41"для того grep "2012-04-09 13:4[1234]"чтобы получить все файлы доступны с 13:41 до 13:44.
Desgua
@ это может быть более напряженная работа, есть ли простой метод.
twister_void
вставьте gedit /var/log/kern.logв терминал Ctrl + F, чтобы найти «массу USB», проверьте день и время, когда ваш друг подключил свой USB, и вы почти закончили. Наконец, откройте терминал и вставьте команду, меняющую дату и время.
Пройдите
3

Поверьте мне, сынок, одна хорошая привычка стоит тонны программного обеспечения (и, действительно, гораздо более надежного). НЕ одалживайте свою сессию никому. Просто скопируйте файлы, которые вы просили для себя и чувствовать себя хорошо.

ps Не существует достаточно хорошего программного обеспечения для безопасности для небезопасных людей.

Zuba
источник
Да, тоже думал об этом, когда ехал на работу этим утром. Это та самая причина, по которой существуют учетные записи пользователей, права собственности и права доступа к файлам (+1). Решения, упомянутые здесь, являются скорее ответом на вопрос об ответственности.
Джиппи
2

После получаса поиска в Интернете решения (которое я тоже хотел бы найти) я не нашел программного обеспечения для этого, но это может быть альтернативой: https://launchpad.net/ubuntu/lucid / amd64 / loggedfs

Он отслеживает операции ввода-вывода файловой системы, с помощью некоторого «grep», который вы, возможно, сможете показать данные, которые вы ищете?

Bahaïka
источник
Вы доверяете своим файлам для безопасного хранения в файловой системе. Убедитесь, что вы хотите начать использовать файловую систему, которая не обновлялась с 2008-09-03 ( sourceforge.net/projects/loggedfs/files/loggedfs ). Я бы не стал доверять свои файлы без регулярных резервных копий.
Джиппи
0

wiresharkспособен контролировать все данные, передаваемые через USB. Хотя это приложение используется в основном для мониторинга передачи по сети, оно также позволяет захватывать пакеты USB. Обратите внимание, что таким образом вы получите не просто список файлов, а побайтное представление полного диалога между вашим компьютером и дисководом. Тем не менее, таким образом, вы можете быть полностью уверены, что ничто не будет скрыто от вас!

Рафал Цеслак
источник