データ転送のログを記録するアプリケーションまたは方法はありますか？

9

友人から、システムから取得できるファイルをいくつか要求されました。私は彼がそうしているのを見ませんでした。それから私は疑問を残されました：彼は私のシステムからどのような追加のファイルまたはデータを取得しましたか？

私はここで、どのデータがどのUSBにコピーされるか（名前が利用可能な場合は名前またはデバイスIDを示す）、Ubuntuマシンにコピーされるデータを示すアプリケーションまたはメソッドがあると考えていました。USBやシステムデータの履歴のようなものです。この機能はKDE

これは非常に便利な方法です。これは、任意のマシン上のUSB大容量ストレージデバイスのアクティビティを監視するためのリアルタイムの監視ユーティリティを提供します。

software-recommendation usb security

— twister_void
ソース

inotifyを確認してください。これはAPIであり、すぐに使用できるプログラムではありません。ibm.com/developerworks/linux/library/l-ubuntu-inotify/…ツールを検索する検索エンジンのクエリを改善するのに役立つ場合があります。

— ジッピー

どのUSBにどのデータがコピーされるか -マウントされたすべてのパーティションの任意のファイルとしてのデータを意味していると思います。ただし、ユーザーとして読み取ることを許可されているシステムファイルをコピーしても危険ではありません。機密のシステムファイルがrootユーザーに属しているためです。だからあなたの友人はsudoパスワードなしでそれらを読むことができませんでした。正しい？この理由は、USBからシステムファイルへの書き込みに当てはまります。sudoパスワードを知らずにそれらに書き込むことは不可能です。したがって、データは$ HOMEコンテンツを意味します。あれは正しいですか？

— zuba

また、$ HOMEのどのデータを監視しますか？〜/ Documents？、〜/ .cofig？、〜/ .anything_else？

— zuba

4

その表示されたinotifywatch仕事をすることができます。詳細とそのマニュアルページについては、上記のコメントで参照しているIBMのドキュメントを参照してください。インストールするには：

apt-cache search inotify

inotifywait-inotifyを使用してファイルへの変更を待つ
inotifywatch-inotifyを使用してファイルシステムのアクセス統計を収集する

— ジッピー
ソース

4

あなたはこれを行うことができます：

1）ファイルを確認します/var/log/kern.logと/var/log/kern.log.1、あなたの友人は、USBマスストレージを接続している時間と日付を検索します。たとえば、私の言う：

4月9日13:41:37 desguai7カーネル：[16788.372616] USBマスストレージサポートが登録されました。
4月9日13:41:38 desguai7カーネル：[16789.370861] scsi 6：0：0：0：Direct-Access SanDisk Cruzer Blade 1.20 PQ：0 ANSI：5
4月9日13:41:38 desguai7カーネル：[16789.386614] sd 6：0：0：0：接続されたscsi汎用sg2タイプ0
4月9日13:41:38 desguai7カーネル：[16789.390966] sd 6：0：0：0：[sdb] 15633408 512バイトの論理ブロック：（8.00 GB / 7.45 GiB）
4月9日13:41:38 desguai7カーネル：[16789.392246] sd 6：0：0：0：[sdb]書き込み保護がオフ
4月9日13:41:38 desguai7カーネル：[16789.392258] sd 6：0：0：0：[sdb]モードセンス：43 00 00 00
4月9日13:41:38 desguai7カーネル：[16789.392980] sd 6：0：0：0：[sdb]書き込みキャッシュ：無効、読み取りキャッシュ：有効、DPOまたはFUAをサポートしていません
4月9日13:41:38 desguai7カーネル：[16789.401326] sdb：sdb1
4月9日13:41:38 desguai7カーネル：[16789.404486] sd 6：0：0：0：[sdb]接続されたSCSIリムーバブルディスク

4月9日13:41（1:41 pm）にUSB大容量記憶装置が私のコンピュータに登録（接続）されました。

2）次に、一部のファイルに最後にアクセスした時刻を確認し、一致する日付を検索します。ターミナルを開き、これを貼り付けます：

find ~/the/folder/noone/should/have/looked/ -exec stat -c %n%x "{}" \; | grep "2012-04-09 13:41"

USB大容量ストレージが接続されたときにアクセスされたファイル名が表示されます。

ちょっとしたトリック：

13:41から13:44まですべてのファイルにアクセスするように変更grep "2012-04-09 13:41"するなど、grepでワイルドカードを使用できますgrep "2012-04-09 13:4[1234]"。

ps .:友達の後にファイルにアクセスした場合は機能しません。

— デスグア
ソース

それから、彼がコピーを完了したことが確実になるまで（kern.logがUSBの取り外しを示している場合）、毎回確認する必要があるでしょう。不可能ではありませんが、スクリプトが必要になります。

— ハックル

1

13:40から13:49にすべてのファイルにアクセスできるように、部分（...）grep "2012-04-09 13:41"を変更するだけgrep "2012-04-09 13:4"です。

— desgua 2012

1

それとも彼は変更される可能性grep "2012-04-09 13:41"のためにgrep "2012-04-09 13:4[1234]"すべてのファイルが午後1時44分に夜01時41分からのアクセスを取得します。

— desgua

@これはもっと忙しい仕事になるかもしれませんが、簡単な方法はありますか？

— twister_void 2012

gedit /var/log/kern.log端末に貼り付け、Ctrl + Fで「USBマス」を見つけ、友達がUSBを接続した日時を確認すれば、あと少しで完了です。最後にターミナルを開き、日付と時刻を変更するコマンドを貼り付けます。テストしてみてください;-)

— desgua

3

私の息子を信じてください。1つの良い習慣は、1トンのソフトウェアに値します（実際には、はるかに信頼性が高くなります）。セッションを誰にも貸さないでください。あなたがあなた自身に求めたファイルをコピーするだけで気分が良くなります。

ps安全でない人々のための十分に良いセキュリティソフトウェアはありません。

— ズバ
ソース

ええ、今朝運転するために運転しているときにもそれについて考えていました。これが、ユーザーアカウント、所有権、ファイルアクセス許可が存在するまさにその理由です（+1）。ここで述べた解決策は、説明責任の質問に対するより多くの回答です。

— ジッピー

2

30分後にインターネットで解決策を探しました（私も見つけたいと思います）、それを行うためのソフトウェアが見つかりませんでしたが、これは別の方法かもしれません：https : //launchpad.net/ubuntu/lucid / amd64 / loggedfs

ファイルシステムのI / Oを監視します。「grep」を使用すると、探しているデータを表示できる場合があります。

— バハイカ
ソース

ファイルシステムに安全に保管するためにファイルを信頼します。2008-09-03以降に更新されていないファイルシステム（sourceforge.net/projects/loggedfs/files/loggedfs）の使用を開始することを必ず確認してください。定期的なバックアップがなければ、自分のファイルは信頼できません。

— ジッピー

0

wiresharkUSB経由で転送されたすべてのデータを監視することができます。このアプリケーションは主にネットワーク転送の監視に使用されますが、USBパッケージをキャプチャすることもできます。この方法では、ファイルのリストだけでなく、コンピューターとドライブ間の完全な会話のバイトごとの表現が得られることに注意してください。ただし、この方法では、何も隠されていないことを完全に確信できます。

— ラファウ・シエラク
ソース