Existe-t-il une application ou une méthode pour enregistrer les transferts de données?

9

Mon ami m'a demandé quelques fichiers que je l'ai laissé prendre sur mon système. Je ne l'ai pas vu faire ça. Puis je suis resté avec un doute: quels fichiers ou données supplémentaires a-t-il pris de mon système?

Je pensais qu'il s'agissait ici d'une application ou d'une méthode qui montre quelles données sont copiées sur quel USB (si le nom disponible indique le nom ou l'identifiant du périphérique) et quelles données sont copiées sur la machine Ubuntu . C'est un peu comme l'histoire des données USB et système. Je pense que cette fonctionnalité existe dansKDE

Cela sera vraiment utile à bien des égards. Il fournit un utilitaire de surveillance en temps réel pour surveiller les activités des périphériques de stockage de masse USB sur n'importe quelle machine.

software-recommendation usb security

— twister_void
source

Vérifiez inotify. C'est une API, pas un programme à utiliser dès le départ. ibm.com/developerworks/linux/library/l-ubuntu-inotify/… Cela peut vous aider à améliorer les requêtes des moteurs de recherche à la recherche d'outils.

— jippie

quelles données sont copiées sur quel USB - je pense que vous vouliez dire des données comme n'importe quel fichier dans toutes les partitions montées. Mais copier des fichiers système qui vous permettent de lire en tant qu'utilisateur n'est pas dangereux, car les fichiers système sensibles appartiennent à l'utilisateur root. Votre ami ne pouvait donc pas les lire sans le mot de passe sudo. Droite? Cette raison s'applique à l'écriture de l'USB dans les fichiers système. Il est impossible de leur écrire sans connaître le mot de passe sudo. Ainsi, les données signifient votre contenu $ HOME . Est-ce exact?

— zuba

Aussi quelles données dans $ HOME voulez-vous surveiller? ~ / Documents ?, ~ / .cofig ?, ~ / .anything_else?

— zuba

4

Il semble que cela inotifywatchpuisse faire le travail. Reportez-vous au document IBM que je référence dans le commentaire ci-dessus pour plus d'informations et sa page de manuel . À installer:

apt-cache search inotify

inotifywait - attend les modifications des fichiers avec inotify
inotifywatch - collecte des statistiques d'accès au système de fichiers à l'aide d'inotify

— jippie
source

4

Tu peux le faire:

1) Vérifiez les fichiers: /var/log/kern.loget /var/log/kern.log.1recherchez l'heure et la date auxquelles votre ami a connecté le stockage de masse USB. Par exemple, le mien dit:

9 avril 13:41:37 noyau desguai7: [16788.372616] Prise en charge du stockage de masse USB enregistrée.
9 avril 13:41:38 noyau desguai7: [16789.370861] scsi 6: 0: 0: 0: lame SanDisk Cruzer à accès direct 1,20 PQ: 0 ANSI: 5
9 avr 13:41:38 noyau desguai7: [16789.386614] sd 6: 0: 0: 0: scsi générique sg2 générique de type 0
9 avril 13:41:38 noyau desguai7: [16789.390966] sd 6: 0: 0: 0: [sdb] 15633408 blocs logiques de 512 octets: (8,00 Go / 7,45 Gio)
9 avril 13:41:38 noyau desguai7: [16789.392246] sd 6: 0: 0: 0: [sdb] La protection en écriture est désactivée
9 avril 13:41:38 noyau desguai7: [16789.392258] sd 6: 0: 0: 0: [sdb] Mode Sense: 43 00 00 00
9 avril 13:41:38 noyau desguai7: [16789.392980] sd 6: 0: 0: 0: [sdb] Cache d'écriture: désactivé, cache de lecture: activé, ne prend pas en charge DPO ou FUA
9 avril 13:41:38 noyau desguai7: [16789.401326] sdb: sdb1
9 avril 13:41:38 noyau desguai7: [16789.404486] sd 6: 0: 0: 0: [sdb] Disque amovible SCSI attaché

Le 9 avril, à 13 h 41 (13 h 41), un stockage de masse USB a été enregistré (connecté) sur mon ordinateur.

2) Permet maintenant de voir la dernière fois où certains fichiers sont consultés et de rechercher des dates correspondantes. Ouvrez un terminal et collez-le:

find ~/the/folder/noone/should/have/looked/ -exec stat -c %n%x "{}" \; | grep "2012-04-09 13:41"

Il vous sera présenté avec les noms de fichiers qui ont été consultés au moment où le stockage de masse USB a été connecté.

Un petit truc:

Vous pouvez utiliser des caractères génériques avec grep, comme changer grep "2012-04-09 13:41"pour grep "2012-04-09 13:4[1234]"obtenir tous les fichiers accessibles de 13h41 à 13h44.

ps .: Cela ne fonctionnera pas si vous avez accédé au fichier après votre ami.

— desgua
source

Vous devrez probablement vérifier chaque instant à partir de ce moment jusqu'à ce que vous soyez certain qu'il a terminé la copie (lorsque kern.log affiche la suppression de l'USB?). Ce sera beaucoup de déclarations find / grep s'il était là pendant 5 minutes. Pas impossible, mais vous aurez besoin d'un script.

— Huckle

1

Il changerait simplement la partie (...) grep "2012-04-09 13:41"pour grep "2012-04-09 13:4"obtenir tous les fichiers accessibles de 13h40 à 13h49.

— desgua

1

Ou il peut changer grep "2012-04-09 13:41"pour grep "2012-04-09 13:4[1234]"obtenir tous les fichiers accessibles de 13h41 à 13h44.

— desgua

@ce pourrait être un travail plus intense, existe-t-il une méthode simple.

— twister_void

collez gedit /var/log/kern.logsur le terminal, Ctrl + F pour trouver "masse usb", vérifiez le jour et l'heure à laquelle votre ami a branché son USB et vous avez presque terminé. Enfin, ouvrez le terminal et collez la commande en modifiant la date et l'heure. Faites un test ;-)

— desgua

3

Croyez-moi, mon fils, une bonne habitude vaut une tonne de logiciels (et beaucoup plus fiable en effet). Ne prêtez votre session à personne. Copiez simplement les fichiers que vous avez demandés et sentez-vous bien.

ps Il n'y a pas de logiciel de sécurité assez bon pour les personnes peu sûres.

— zuba
source

Oui, j'y pensais aussi en conduisant au travail ce matin. C'est la raison même pour laquelle les comptes d'utilisateurs, la propriété et les autorisations de fichiers existent (+1). Les solutions mentionnées ici sont davantage une réponse à la question de la responsabilité.

— jippie

2

Après une demi-heure à chercher sur Internet une solution (que j'aimerais aussi trouver), je n'ai pas trouvé de logiciel pour le faire, mais cela pourrait être une alternative: https://launchpad.net/ubuntu/lucid / amd64 / logsfs

Il surveille les E / S d'un système de fichiers, avec un peu de "grep", vous pourrez peut-être afficher les données que vous recherchez?

— Bahaïka
source

Vous faites confiance à vos fichiers pour les conserver en toute sécurité dans un système de fichiers. Soyez absolument sûr de vouloir commencer à utiliser un système de fichiers qui n'a pas eu de mises à jour depuis le 2008-09-03 ( sourceforge.net/projects/loggedfs/files/loggedfs ). Je n'y ferais pas confiance sans mes sauvegardes régulières.

— jippie

0

wiresharkest capable de surveiller toutes les données transférées via USB. Bien que cette application soit principalement utilisée pour surveiller le transfert réseau, elle vous permet également de capturer des packages USB. Notez que de cette façon, vous n'obtiendrez pas seulement une liste de fichiers, mais une représentation octet par octet de la conversation complète entre votre ordinateur et le lecteur. Cependant, de cette façon, vous pouvez être absolument sûr que rien ne vous est caché!

— Rafał Cieślak
source