Как узнать, был ли USB подключен в определенную дату? (Linux / Mac)
Попробуйте:
systemctl --state=failed
man systemctl говорит:
- state =
Аргумент должен быть разделенным запятыми списком состояний модуля LOAD, SUB или ACTIVE. При перечислении единиц показывайте только те, которые находятся в указанных состояниях. Используйте --state = failed, чтобы показать только неудачные единицы.
Запуск (как root ):
systemctl status
статус [ШАБЛОН ... | PID ...]]
Показать краткую информацию о состоянии выполнения для одного или нескольких модулей, за которым следует самый последний журнал данные из журнала.
Также:
journalctl -u -b
Да; есть некоторые индикаторы, которые могут существовать.
Нет; нет никакого способа предотвратить обнаружение подкованных пользовательских форм.
Хранилище
- Самый оптимистичный вариант
find. | xargs stat | grep 2018-05-03или для списка времен и файловfind. | xargs stat -c "%x %n" | sort -r | head - Флэш-память USB или SD-карты, вероятно, используют FAT32 для совместимости, что, насколько мне известно, (, но легко проверить с помощью
md5sum *.img), не записывает количество подключений или время доступа к файлу, и даже если использовалась более продвинутая файловая система, данные могут быть копируется на уровне блока(cat /dev/sdb > backup_$(date --iso-8601).img). - Флэш-память USB или SD-карты обычно не имеют аппаратного управления HDD/SSD/EMMC/NVMe, которое обычно регистрирует использование (и отображается с помощью
smartctl -a /dev/sdb), и даже это можно обойти, временно заменив платы контроллера. - Чтобы получить переносное хранилище с должным образом реализованным ведением журнала, шифрованием и TPM, потребуется разобрать чип и, возможно, электронный микроскоп стоимостью 60 000 долларов, чтобы считать данные незамеченными (и заменить чип на новый ).
Компьютер
- Самый оптимистичный вариант —
dmesg -T | grep "New USB device found" | grep "May 03", ноdmesg -cи т. д. могут это прояснить. - Если у вас есть права root, а у них нет, вы можете использовать доставку журналов для отслеживания, но они могут просто загрузиться с живого дистрибутива USB, чтобы избежать этого.
Пример вывода;
2018-05-19 04:57:13.723849533 -0400./yum.sh
2018-05-18 17:00:01.271971441 -0400./food.sh
.
[Mon May 14 19:44:19 2018] usb usb2: New USB device found, idVendor=1d6b, idProduct=0002
[Mon May 14 19:44:19 2018] usb usb3: New USB device found, idVendor=1d6b, idProduct=0001
Что касается вашего первого вопроса «узнать, была ли подключена флэш-память USB», ядро сообщит о подключении запоминающих устройств USB.
Пример ниже, в котором предполагается, что ваш дистрибутив Linux используетsystemd(другие дистрибутивы могут вместо этого записывать в /var/log/messagesили аналогичный файл ).
# journalctl --since '2018-05-19' --until '2018-05-20' | grep 'kernel: usb'
May 19 12:22:15 localhost.localdomain kernel: usb 1-1.1.1: USB disconnect, device number 7
May 19 12:22:19 localhost.localdomain kernel: usb 1-1.1.1: new high-speed USB device number 8 using ehci-pci
May 19 12:22:19 localhost.localdomain kernel: usb 1-1.1.1: New USB device found, idVendor=13fe, idProduct=1f00
May 19 12:22:19 localhost.localdomain kernel: usb 1-1.1.1: New USB device strings: Mfr=1, Product=2, SerialNumber=3
May 19 12:22:19 localhost.localdomain kernel: usb 1-1.1.1: Product: Patriot Memory
May 19 12:22:19 localhost.localdomain kernel: usb 1-1.1.1: Manufacturer:
May 19 12:22:19 localhost.localdomain kernel: usb 1-1.1.1: SerialNumber: 07870CA23F48
May 19 12:22:19 localhost.localdomain kernel: usb-storage 1-1.1.1:1.0: USB Mass Storage device detected
#