Gibt es eine Anwendung oder Methode zum Protokollieren von Datenübertragungen?

9

Mein Freund bat mich um einige Dateien, die er von meinem System nehmen ließ. Ich habe nicht gesehen, dass er das tat. Dann hatte ich Zweifel: Welche zusätzlichen Dateien oder Daten hat er von meinem System genommen?

Ich dachte, hier ist jede Anwendung oder Methode, die zeigt, welche Daten auf welchen USB-Stick kopiert werden (wenn der Name verfügbar ist, zeigt er den Namen oder eine andere Geräte-ID an) und welche Daten auf den Ubuntu-Computer kopiert werden . Es ist eine Art Geschichte von USB- und Systemdaten. Ich denke, diese Funktion existiert inKDE

Dies wird in vielerlei Hinsicht wirklich nützlich sein. Es bietet ein Echtzeit- und Überwachungsdienstprogramm zur Überwachung der Aktivitäten von USB-Massenspeichergeräten auf jedem Computer.

software-recommendation usb security twister_void
quelle
Überprüfen Sie inotify. Es ist eine API, kein sofort einsatzbereites Programm. ibm.com/developerworks/linux/library/l-ubuntu-inotify/… Es kann Ihnen helfen, bessere Suchmaschinenabfragen bei der Suche nach Tools durchzuführen.
Jippie
Welche Daten werden auf welchen USB-Stick kopiert? Ich denke, Sie haben Daten als jede Datei in allen gemounteten Partitionen gemeint. Das Kopieren von Systemdateien, die Sie als Benutzer lesen dürfen, ist jedoch nicht gefährlich, da vertrauliche Systemdateien dem Root-Benutzer gehören. Ihr Freund konnte sie also ohne sudo-Passwort nicht lesen. Richtig? Dieser Grund gilt für das Schreiben von USB in Systemdateien. Es ist unmöglich, ihnen zu schreiben, ohne das sudo-Passwort zu kennen. So Daten bedeuten , dass Ihr $ HOME Inhalt . Ist das korrekt?
zuba
Auch auf welche Daten in $ HOME möchten Sie achten? ~ / Dokumente?, ~ / .Cofig?, ~ / .Anything_else?
zuba

Antworten:

4

Du kannst das:

1) Überprüfen Sie die Dateien: /var/log/kern.logund /var/log/kern.log.1suchen Sie nach Uhrzeit und Datum, an dem Ihr Freund den USB-Massenspeicher angeschlossen hat. Zum Beispiel sagt meins: 

9. April 13:41:37 desguai7 Kernel: [16788.372616] Unterstützung für USB-Massenspeicher registriert.
9. April 13:41:38 desguai7 Kernel: [16789.370861] scsi 6: 0: 0: 0: SanDisk Cruzer Blade mit direktem Zugriff 1.20 PQ: 0 ANSI: 5
9. April 13:41:38 desguai7 Kernel: [16789.386614] sd 6: 0: 0: 0: Angehängte scsi generic sg2 Typ 0
9. April 13:41:38 desguai7 Kernel: [16789.390966] sd 6: 0: 0: 0: [sdb] 15633408 Logische 512-Byte-Blöcke: (8,00 GB / 7,45 GiB)
9. April 13:41:38 desguai7 Kernel: [16789.392246] SD 6: 0: 0: 0: [SDB] Schreibschutz ist deaktiviert
9. April 13:41:38 desguai7 Kernel: [16789.392258] sd 6: 0: 0: 0: [sdb] Modus Sinn: 43 00 00 00
9. April 13:41:38 desguai7 Kernel: [16789.392980] sd 6: 0: 0: 0: [sdb] Schreibcache: deaktiviert, Lesecache: aktiviert, unterstützt DPO oder FUA nicht
9. April 13:41:38 desguai7 Kernel: [16789.401326] sdb: sdb1
9. April 13:41:38 desguai7 Kernel: [16789.404486] SD 6: 0: 0: 0: [SDB] Angehängter SCSI-Wechseldatenträger

Am 9. April um 13:41 Uhr (13:41 Uhr) wurde ein USB-Massenspeicher auf meinem Computer registriert (verbunden).

2) Lassen Sie uns nun sehen, wann das letzte Mal auf einige Dateien zugegriffen wurde, und nach passenden Daten suchen. Öffnen Sie ein Terminal und fügen Sie Folgendes ein: 

find ~/the/folder/noone/should/have/looked/ -exec stat -c %n%x "{}" \; | grep "2012-04-09 13:41"

Sie erhalten die Dateinamen, auf die zum Zeitpunkt der Verbindung des USB-Massenspeichers zugegriffen wurde.

Ein kleiner Trick:

Sie können Platzhalter mit grep verwenden, wie das Ändern grep "2012-04-09 13:41"für grep "2012-04-09 13:4[1234]"13.41 Uhr bis 13.44 Uhr alle Dateien zugegriffen werden.

ps.: Es funktioniert nicht, wenn Sie nach Ihrem Freund auf die Datei zugegriffen haben.

Desgua
quelle
Von da an müssten Sie wahrscheinlich jeden Moment überprüfen, bis Sie sicher sind, dass er mit dem Kopieren fertig ist (wenn kern.log die USB-Entfernung anzeigt?). Dies sind viele find / grep-Anweisungen, wenn er noch 5 Minuten dort war. Nicht unmöglich, aber Sie benötigen ein Skript.
Huckle
1
Er würde einfache Änderung des Teil (...) grep "2012-04-09 13:41"für grep "2012-04-09 13:4"alle Dateien von 13.40 bis 13.49 Uhr zugänglich zu bekommen.
Desgua
1
Oder er könnte sich ändern , grep "2012-04-09 13:41"für grep "2012-04-09 13:4[1234]"alle Dateien von 13.41 bis 13.44 Uhr zugänglich zu bekommen.
Desgua
@dies könnte hektischer sein, gibt es eine einfache Methode.
Twister_void
Fügen Sie gedit /var/log/kern.logauf dem Terminal Strg + F ein, um "USB-Masse" zu finden. Überprüfen Sie den Tag und die Uhrzeit, zu der Ihr Freund seinen USB-Anschluss angeschlossen hat, und Sie sind fast fertig. Öffnen Sie schließlich das Terminal und fügen Sie den Befehl zum Ändern von Datum und Uhrzeit ein.
Probieren
3

Glauben Sie mir, mein Sohn, eine gute Angewohnheit ist eine Menge Software wert (und in der Tat viel zuverlässiger). Leihen Sie Ihre Sitzung NICHT an jemanden. Kopieren Sie einfach die Dateien, die Sie selbst angefordert haben, und fühlen Sie sich gut.

ps Es gibt keine ausreichend gute Sicherheitssoftware für unsichere Personen.

zuba
quelle
Ja, ich habe heute Morgen auch darüber nachgedacht, als ich zur Arbeit gefahren bin. Dies ist genau der Grund, warum Benutzerkonten, Eigentumsrechte und Dateiberechtigungen vorhanden sind (+1). Die hier genannten Lösungen sind eher eine Antwort auf die Frage der Rechenschaftspflicht.
Jippie
2

Nachdem ich eine halbe Stunde im Internet nach einer Lösung gesucht hatte (die ich auch gerne gefunden hätte), fand ich keine Software dafür, aber dies könnte eine Alternative sein: https://launchpad.net/ubuntu/lucid / amd64 / loggedfs

Es überwacht die E / A eines Dateisystems. Mit etwas "grep" können Sie möglicherweise die gesuchten Daten anzeigen.

Bahaïka
quelle
Sie vertrauen Ihren Dateien für die sichere Aufbewahrung in einem Dateisystem. Stellen Sie unbedingt sicher, dass Sie ein Dateisystem verwenden möchten, das seit dem 03.09.2008 keine Updates mehr hatte ( sourceforge.net/projects/loggedfs/files/loggedfs ). Ohne regelmäßige Backups würde ich meinen Dateien nicht vertrauen.
Jippie
0

wiresharkkann alle über USB übertragenen Daten überwachen . Obwohl diese Anwendung hauptsächlich zur Überwachung der Netzwerkübertragung verwendet wird, können Sie auch USB-Pakete erfassen. Beachten Sie, dass Sie auf diese Weise nicht nur eine Liste der Dateien erhalten, sondern eine byteweise Darstellung der vollständigen Konversation zwischen Ihrem Computer und dem Laufwerk. Auf diese Weise können Sie jedoch absolut sicher sein, dass Ihnen nichts verborgen bleibt!

Rafał Cieślak
quelle