usb-flash накопители - остаются ли следы? [РЕШЕНО]

[Zugenoid]

Признаю, что вопрос возможно очень глупый, но тем не менее.
Суть в чем: по роду деятельности приходится отслеживать использование флешек пользователями в организации. Когда исользовались только форточки, проблем в контроле особо не было: заюзал usb-deview, для самоконтроля сравнил реестр с эталонным слепком и вуаля.
Теперь же, когда начали использовать все чаще и больше ubuntu, возник вопрос - в системе где-либо остаются следы того, что имелось подключение ныне отключенного usb-накопителя подобно тому, как в реестре форточек в куче мест буквально "насрано" записями о имевшихся подключениях? Как бы этот момент оследить?
ЗЫ: ну и совсем охамею - какой софт юзать (помимо стандартных просмотрщиков логов событий) в части касающейся?
Заранее спасибо и должен палюбасу (Коктебеля 0,5, не меньше   )

[Rakshas]

Следы о подключении флешек (и прочих устройств) остаются в dmesg. Записи там регулярные, поэтому можно написать скрипт, который будет мониторить dmesg и писать в отдельный лог время подключения устройства (а при желании и тип устройства, структуру каталогов, и прочее). Потом просто читаете этот лог и делаете втык нерадивым пользователям.

[Zugenoid]

Ага)))
Тогда следующий вопрос: после перезагрузки машины лог dmesg теряется? Пока скрипт не написан/отлажен, я могу проконтролировать подключения флешек (до перезагрузки/выключения машины) каким-либо образом?

[Rakshas]

Да. Старые логи dmesg хранятся в /var/log/ по крайней мере у меня там лежат логи последних 5 сессий.

[Zugenoid]

Понял)))
Кроме этих логов следы еще где-то могут оставаться? А то юзеры ушлые пошли...)))

И о насущном:
Когниаг когда-куда? 

[Rakshas]

Понял)))
Кроме этих логов следы еще где-то могут оставаться? А то юзеры ушлые пошли...)))

ХЗ. Может в /var/log/syslog?

И о насущном:
Когниаг когда-куда? 

Забей. Во-первых, я не пью. Во-вторых, брать за простой совет плату как-то даже стыдно.

[Zugenoid]

ХЗ. Может в /var/log/syslog

копну, ага
Спасибо!

[roma2000]

прошу прошения за вопрос, но не могли бы вы чайнику и нерадивому пользователю (мне то есть) подсказать, как убрать следы подключения флеш?
надо редактировать вышеперечисленные файлы или надо удалить эти файлы?
и подскажите пжлста где почитать про удаление лог-файлов? я тому, что не навредит их удаление случаем? может какие нельзя удалять?

[GonZaleZ]

roma2000, Zugenoid, вы не знакомы по работе случайно? =)

[MA3X]

Удалить логи можно, но для этого нужны полномочия рута. Или livecd\liveusb, но загрузка с них тоже может быть заблочена толковым админом.
Да, удаление логов скроет факт подключения флешки, но не скроет факт удаления логов.
Так что подумайте...

[u440]

roma2000, Zugenoid, вы не знакомы по работе случайно? =)

Тоже очень захотелось задать этот вопрос

[alecsartania]

прошу прошения за вопрос, но не могли бы вы чайнику и нерадивому пользователю (мне то есть) подсказать, как убрать следы подключения флеш?
надо редактировать вышеперечисленные файлы или надо удалить эти файлы?
и подскажите пжлста где почитать про удаление лог-файлов? я тому, что не навредит их удаление случаем? может какие нельзя удалять?

изучить правила заполнения /etc/syslog.conf

[roma2000]

Linuxоиды оказывается те еще приколисты!
Однако к делу.
1 - мы не знакомы с уважаемым Zugenoid. да и работы у нас похоже  разные (если судить по вопросам). но ему наверное тоже будет интересно.
2 - посмотрел dmesg и честно говоря ничего не понял. поиском встречается usb  в тексте, но как определить момент подключения и номер флешки не понял.
3 -  в google  поиск "правила заполнения /etc/syslog.conf" ничего путного не дал.
4 - начал искать "очистка удаление логов". нашел следующее  - sudo apt-get clean.
предлагают еще открывать файлы логов, удалять содержимое и сохранять.
вопрос - это (1 или 2 способ) может решить проблему с очисткой следов подключения флешек?