Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Прочитать в логах о подсоединяемых флешках (когда и что делали) - ушла информаци  (Прочитано 923 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн YDenis

  • Автор темы
  • Активист
  • *
  • Сообщений: 615
    • Просмотр профиля
Здравствуйте.
Прошу помощи, плиз. Директор сегодня озадачил. Рабочая станция с ubuntu 10.04, окружение gnome 2. Ушла информация с машины, нужно отследить когда.
Исходные данные: расшаренных папок нет, почти дефолтная установка. Информация, мегабайтов 7-8 текстовых доков, могла уйти физически через флешки.

Вопрос:
1. можно ли было по сети зайти в домашнюю папку?
2. где можно прочитать в логах о подсоединяемых накопителях (когда) и что на них копировали?

Спасибо

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
1. можно ли было по сети зайти в домашнюю папку?
Да, если есть сеть.

2. где можно прочитать в логах о подсоединяемых накопителях (когда) и что на них копировали?
Да, если предварительно включить логирование.

PS
http://unix.stackexchange.com/questions/18684/access-history-of-a-file/18689#18689

Оффлайн YDenis

  • Автор темы
  • Активист
  • *
  • Сообщений: 615
    • Просмотр профиля
1. можно ли было по сети зайти в домашнюю папку?
Да, если есть сеть.

2. где можно прочитать в логах о подсоединяемых накопителях (когда) и что на них копировали?
Да, если предварительно включить логирование.

PS
http://unix.stackexchange.com/questions/18684/access-history-of-a-file/18689#18689

В дефолтных настройках логирование включено?

Пользователь решил продолжить мысль 05 Февраля 2013, 16:29:47:
1. можно ли было по сети зайти в домашнюю папку?
Да, если есть сеть.

2. где можно прочитать в логах о подсоединяемых накопителях (когда) и что на них копировали?
Да, если предварительно включить логирование.

PS
http://unix.stackexchange.com/questions/18684/access-history-of-a-file/18689#18689

На будущее хочу знать, не без користного интереса, чтобы если есть убрать эту дырку. Как можно зайти в домпапку по сети? И как убрать эту возможность.

Спасибо за внимание к проблеме.

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
В дефолтных настройках логирование включено?
Только информация о подключении/отключении съёмных устройств.
Втыкаем флешку и наблюдаем примерно следующее:
(Нажмите, чтобы показать/скрыть)

Как можно зайти в домпапку по сети? И как убрать эту возможность.
К примеру, через teamviewer. Гарантированно защититься от такого можно лишь отключением от сети.
Кроме того, если есть сеть, то инфу можно слить по почте или через любой файловый хостинг.

Оффлайн arrecck

  • Старожил
  • *
  • Сообщений: 1725
    • Просмотр профиля
включить шифрование раздела?
добавить в правиль udev - при монтировании сменных носителей отсылать админу на мыло уведомление, можно еще через inotify сделать, чтобы контролировалось, какие файлы скопированы

Оффлайн YDenis

  • Автор темы
  • Активист
  • *
  • Сообщений: 615
    • Просмотр профиля
В дефолтных настройках логирование включено?
Только информация о подключении/отключении съёмных устройств.
Втыкаем флешку и наблюдаем примерно следующее:
(Нажмите, чтобы показать/скрыть)

Как можно зайти в домпапку по сети? И как убрать эту возможность.
К примеру, через teamviewer. Гарантированно защититься от такого можно лишь отключением от сети.
Кроме того, если есть сеть, то инфу можно слить по почте или через любой файловый хостинг.

Спасибо.
Можно еще спросить:
1. Где можно дополнительно включить логирование действия с файлами и не скажется ли это на общую загрузку системы (машина не слишком нова);
2. Почта, хостинг - это уже зона ответственности пользователя. А разве можно в ubuntu без административных прав установить тот teamviewer? Т.е даже на дефолтной установке без дополнительных настроек со стороны админа попасть по сети в home нельзя?

Пользователь решил продолжить мысль 05 Февраля 2013, 17:10:44:
включить шифрование раздела?
добавить в правиль udev - при монтировании сменных носителей отсылать админу на мыло уведомление, можно еще через inotify сделать, чтобы контролировалось, какие файлы скопированы

Меня этот вопрос более интересует именно как админа.

Информация ушла, но у нас далеко не ФСБ или банк. Тем более мною еще давно были предложены простые меры по предупреждения этого. Это сложный пароль + политика смена и ответственности за него и пароль для вывода из сна + конфидециальную информацию запрятать далеко в недра диска. Но даже на уровне управления это было отвергнуто.

Для сохранности данных я думаю как админ я сделал все - начинаю от выбора ОС (ранее стояла win xp) до политики административных паролей.
« Последнее редактирование: 05 Февраля 2013, 17:10:44 от YDenis »

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
1. Где можно дополнительно включить логирование действия с файлами и не скажется ли это на общую загрузку системы (машина не слишком нова);
Основную ссылку по данному вопросу я давал выше.
Там написано, что производительность проседает.
Как сильно, не знаю, т.к. лично не тестировал.
Также там предложено несколько вариантов включения аудита.
Насколько я понял, проще всего будет реализовать через auditctl.
Но, вам придётся изучить документацию.
Русскоязычный мануал есть тут:
http://www.opennet.ru/man.shtml?topic=auditctl&category=8&russian=0

А разве можно в ubuntu без административных прав установить тот teamviewer?
Для его запуска установка не обязательна.
Достаточно распаковать пакет, все зависимости слинкованы статически.

Оффлайн YDenis

  • Автор темы
  • Активист
  • *
  • Сообщений: 615
    • Просмотр профиля
Спасибо за разъяснения.

 

Страница сгенерирована за 0.032 секунд. Запросов: 25.