데이터 전송을 기록하는 응용 프로그램이나 방법이 있습니까?

9

내 친구가 시스템에서 가져갈 파일을 요청했습니다. 나는 그가 그 일을 보지 못했습니다. 그런 다음 시스템에 어떤 추가 파일이나 데이터를 가져 갔습니까?

어떤 데이터가 어떤 USB에 복사 되는지 (이름이 사용 가능한 경우 이름 또는 다른 장치 ID를 표시하는 경우) 어떤 데이터가 Ubuntu 컴퓨터에 복사 되는지 보여주는 응용 프로그램 또는 방법 이 여기에 있다고 생각했습니다 . USB와 시스템 데이터의 역사와 비슷합니다. 이 기능은KDE

이것은 실제로 몇 가지 방법으로 유용 할 것입니다. 모든 시스템에서 USB 대용량 저장 장치 활동을 모니터링하는 실시간 및 모니터링 유틸리티를 제공합니다.

software-recommendation usb security

— twister_void
소스

inotify를 확인하십시오. 즉시 사용하는 프로그램이 아니라 API입니다. ibm.com/developerworks/linux/library/l-ubuntu-inotify/… 도구를 검색하는 더 나은 검색 엔진 조회를 작성하는 데 도움이 될 수 있습니다.

— jippie

어떤 데이터가 어떤 USB에 복사되는지 -모든 마운트 된 파티션의 파일로 데이터를 의미한다고 생각합니다. 그러나 사용자로 읽을 수있는 시스템 파일을 복사하는 것은 위험하지 않으므로 민감한 시스템 파일은 루트 사용자에게 속합니다. 그래서 친구는 sudo 비밀번호없이 읽을 수 없었습니다. 권리? 이 이유는 USB에서 시스템 파일로 쓰는 데 적용됩니다. sudo 암호를 모르면 쓸 수 없습니다. 따라서 데이터 는 $ HOME 컨텐츠를 의미합니다 . 그 맞습니까?

— zuba

또한 $ HOME의 어떤 데이터를 보시겠습니까? ~ / Documents ?, ~ / .cofig ?, ~ / .anything_else?

— zuba

4

inotifywatch작업을 수행 할 수있는 것으로 보입니다 . 자세한 정보 및 매뉴얼 페이지는 위 주석에서 참조한 IBM 문서를 참조 하십시오 . 설치하기 위해서:

apt-cache search inotify

inotifywait-inotify를 사용하여 파일 변경을 기다립니다
inotifywatch-inotify를 사용하여 파일 시스템 액세스 통계 수집

— 지피
소스

4

당신은 이것을 할 수 있습니다 :

1) 파일을 확인합니다 /var/log/kern.log과 /var/log/kern.log.1당신의 친구가 USB 대용량 저장 장치를 연결하는 시간과 날짜를 검색 할 수 있습니다. 예를 들어, 내 말 :

4 월 9 일 13:41:37 desguai7 커널 : [16788.372616] USB 대용량 저장소 지원 등록.
4 월 9 일 13:41:38 desguai7 커널 : [16789.370861] scsi 6 : 0 : 0 : 0 : 직접 액세스 SanDisk Cruzer Blade 1.20 PQ : 0 ANSI : 5
4 월 9 일 13:41:38 desguai7 커널 : [16789.386614] sd 6 : 0 : 0 : 0 : 첨부 된 scsi generic sg2 type 0
4 월 9 일 13:41:38 desguai7 커널 : [16789.390966] SD 6 : 0 : 0 : 0 : [sdb] 15633408 512 바이트 논리 블록 : (8.00 GB / 7.45 GiB)
4 월 9 일 13:41:38 desguai7 커널 : [16789.392246] sd 6 : 0 : 0 : 0 : [sdb] 쓰기 방지가 해제되었습니다
4 월 9 일 13:41:38 desguai7 커널 : [16789.392258] SD 6 : 0 : 0 : 0 : [sdb] 모드 감지 : 43 00 00 00
4 월 9 일 13:41:38 desguai7 커널 : [16789.392980] SD 6 : 0 : 0 : 0 : [sdb] 캐시 쓰기 : 비활성화, 캐시 읽기 : 활성화, DPO 또는 FUA를 지원하지 않습니다
4 월 9 일 13:41:38 desguai7 커널 : [16789.401326] sdb : sdb1
4 월 9 일 13:41:38 desguai7 커널 : [16789.404486] SD 6 : 0 : 0 : 0 : [sdb] 연결된 SCSI 이동식 디스크

그래서 4 월 9 일 오후 13:41 (오후 1시 41 분)에 USB 대용량 저장소가 내 컴퓨터에 등록 (연결)되었습니다.

2) 이제 일부 파일에 마지막으로 액세스 한 시간을보고 일치하는 날짜를 검색 할 수 있습니다. 터미널을 열고 이것을 붙여 넣으십시오.

find ~/the/folder/noone/should/have/looked/ -exec stat -c %n%x "{}" \; | grep "2012-04-09 13:41"

USB 대용량 저장소가 연결될 때 액세스 한 파일 이름이 표시됩니다.

약간의 트릭 :

당신은 변화와 같은 그렙에 와일드 카드를 사용할 수 있습니다 grep "2012-04-09 13:41"에 대한 grep "2012-04-09 13:4[1234]"모든 파일이 13시 44분에 13시 41분에서 액세스 얻을 수 있습니다.

추신 : 친구 후에 파일에 액세스하면 작동하지 않습니다.

— 데 구아
소스

그가 복사가 완료 될 때까지 (kern.log가 USB 제거를 표시 할 때?) 매 순간마다 확인해야 할 것입니다. 불가능하지는 않지만 스크립트가 필요합니다.

— Huckle

1

그는 모든 파일을 13:40에서 13:49로 액세스 할 수 있도록 부분 (...) grep "2012-04-09 13:41"을 간단하게 변경할 것 grep "2012-04-09 13:4"입니다.

— desgua

1

아니면은 변경 될 수 있습니다 grep "2012-04-09 13:41"에 대한 grep "2012-04-09 13:4[1234]"모든 파일이 13시 44분에 13시 41분에서 액세스 얻을 수 있습니다.

— desgua

@ 이것은 더 바쁜 일이 될 수 있습니다. 간단한 방법이 있습니까?

— twister_void

gedit /var/log/kern.log터미널에 붙여넣고 Ctrl + F를 눌러 "usb mass"를 찾은 다음 친구가 USB를 연결 한 요일과 시간을 확인하면 거의 끝났습니다. 마지막으로 터미널을 열고 날짜와 시간을 변경하는 명령을 붙여 넣습니다. 테스트

— 해보십시오

3

아들 하나, 좋은 습관이 많은 소프트웨어 가치 (그리고 훨씬 더 신뢰할만한 것)를 믿습니다. 누구에게도 세션을 빌려주지 마십시오. 자신에게 요청한 파일을 복사하면 기분이 좋아집니다.

ps 안전하지 않은 사람들을위한 충분한 보안 소프트웨어가 없습니다.

— 주바
소스

오늘 아침에 일하러 운전하는 중에도 그것에 대해 생각하고있었습니다. 이것이 바로 사용자 계정, 소유권 및 파일 권한이 존재하는 이유입니다 (+1). 여기에 언급 된 솔루션은 책임 성 질문에 대한 답변입니다.

— jippie

2

인터넷에서 해결책을 찾고있는 30 분 후에 (나도 찾고 싶습니다) 나는 그것을 할 소프트웨어를 찾지 못했지만 이것은 대안이 될 수 있습니다 : https://launchpad.net/ubuntu/lucid / amd64 / loggedfs

파일 시스템의 I / O를 모니터링하며, "grep"을 사용하여 찾고있는 데이터를 보여줄 수 있습니다.

— 바 하이카
소스

파일 시스템에 안전하게 보관하기 위해 파일을 신뢰합니다. 2008-09-03 이후 업데이트가없는 파일 시스템 ( sourceforge.net/projects/loggedfs/files/loggedfs )을 사용하기 시작해야합니다 . 정기적 인 백업 없이는 파일을 신뢰하지 않습니다.

— jippie

0

wiresharkUSB를 통해 전송 된 모든 데이터 를 모니터링 할 수 있습니다. 이 응용 프로그램은 주로 네트워크 전송을 모니터링하는 데 사용되지만 USB 패키지도 캡처 할 수 있습니다. 이 방법으로 파일 목록 만 얻는 것이 아니라 컴퓨터와 드라이브 간의 전체 대화를 바이트 단위로 나타냅니다. 그러나 이렇게하면 아무것도 숨겨지지 않을 것입니다.

— 라 파우 시실 락
소스