Czy istnieje aplikacja lub metoda rejestrowania transferów danych?

Mój przyjaciel poprosił mnie o kilka plików, które pozwoliłem mu pobrać z mojego systemu. Nie widziałem, żeby to robił. Potem miałem wątpliwości: jakie dodatkowe pliki lub dane wziął z mojego systemu?

Myślałem, że jest tu jakakolwiek aplikacja lub metoda, która pokazuje, jakie dane są kopiowane na które USB (jeśli nazwa jest dostępna, to pokazuje nazwę lub inny identyfikator urządzenia) i jakie dane są kopiowane na maszynę Ubuntu . To trochę jak historia danych USB i danych systemowych. Myślę, że ta funkcja istniejeKDE

Będzie to naprawdę przydatne na wiele sposobów. Zapewnia narzędzie do monitorowania w czasie rzeczywistym i monitorowania aktywności urządzeń pamięci masowej USB na dowolnym komputerze.

Wygląda na to, że inotifywatchda radę. Więcej informacji oraz strona podręcznika znajdują się w dokumencie IBM, do którego się odwołuję w powyższym komentarzu . Żeby zainstalować:

apt-cache search inotify

• inotifywait - poczekaj na zmiany w plikach za pomocą inotify
• inotifywatch - zbieraj statystyki dostępu do systemu plików za pomocą inotify

Możesz to zrobić:

1) Sprawdź pliki: /var/log/kern.logi /var/log/kern.log.1wyszukaj godzinę i datę, kiedy twój przyjaciel podłączył pamięć masową USB. Na przykład mój mówi:

9 kwietnia 13:41:37 jądro desguai7: [16788.372616] Zarejestrowano obsługę pamięci masowej USB.
9 kwietnia 13:41:38 jądro desguai7: [16789.370861] scsi 6: 0: 0: 0: Bezpośredni dostęp do SanDisk Cruzer Blade 1.20 PQ: 0 ANSI: 5
9 kwietnia 13:41:38 jądro desguai7: [16789.386614] sd 6: 0: 0: 0: Dołączono ogólny scsi typ sg2 0
9 kwietnia 13:41:38 jądro desguai7: [16789.390966] sd 6: 0: 0: 0: [sdb] 15633408 512-bajtowe bloki logiczne: (8,00 GB / 7,45 GiB)
9 kwietnia 13:41:38 jądro desguai7: [16789.392246] sd 6: 0: 0: 0: [sdb] Ochrona przed zapisem jest wyłączona
9 kwietnia 13:41:38 jądro desguai7: [16789.392258] sd 6: 0: 0: 0: [sdb] Mode Sense: 43 00 00 00
9 kwietnia 13:41:38 jądro desguai7: [16789.392980] sd 6: 0: 0: 0: [sdb] Zapis pamięci podręcznej: wyłączony, odczyt pamięci podręcznej: włączony, nie obsługuje DPO ani FUA
9 kwietnia 13:41:38 jądro desguai7: [16789.401326] sdb: sdb1
9 kwietnia 13:41:38 jądro desguai7: [16789.404486] sd 6: 0: 0: 0: [sdb] Podłączony dysk wymienny SCSI

9 kwietnia o 13:41 (13:41) na moim komputerze została zarejestrowana (podłączona) pamięć masowa USB.

2) Teraz pozwala zobaczyć ostatni dostęp do niektórych plików i wyszukać pasujące daty. Otwórz terminal i wklej to:

find ~/the/folder/noone/should/have/looked/ -exec stat -c %n%x "{}" \; | grep "2012-04-09 13:41"  

Zostaną wyświetlone nazwy plików, które były dostępne w momencie podłączenia pamięci masowej USB.

Mała sztuczka:

Możesz używać symboli wieloznacznych z grep, takich jak zmiana grep "2012-04-09 13:41"na, grep "2012-04-09 13:4[1234]"aby uzyskać dostęp do wszystkich plików od 13:41 do 13:44.

ps .: To nie zadziała, jeśli uzyskałeś dostęp do pliku po swoim znajomym.

Uwierz mi synu, jeden dobry nawyk warty jest mnóstwa oprogramowania (i rzeczywiście o wiele bardziej niezawodny). NIE pożyczaj swojej sesji nikomu. Po prostu skopiuj pliki, o które prosiłeś o SIEBIE i poczuj się dobrze.

ps Nie ma wystarczająco dobrego oprogramowania zabezpieczającego dla niepewnych ludzi.

Po pół godzinie szukania w Internecie rozwiązania (które też chciałbym znaleźć) nie znalazłem oprogramowania do tego, ale może to być alternatywa: https://launchpad.net/ubuntu/lucid / amd64 / loggedfs

Monitoruje operacje wejścia / wyjścia systemu plików. Przy pomocy „grep” możesz pokazać dane, których szukasz?

wiresharkjest w stanie monitorować wszystkie dane przesyłane przez USB. Chociaż ta aplikacja służy głównie do monitorowania transferu sieciowego, umożliwia również przechwytywanie pakietów USB. Zauważ, że w ten sposób otrzymasz nie tylko listę plików, ale bajt po bajcie reprezentację pełnej konwersacji między komputerem a dyskiem. Jednak w ten sposób możesz być całkowicie pewien, że nic się przed tobą nie ukryje!