Auditoría de actividad y hardware

2

Tengo un iMac con OS X 10.7 que se encuentra en un espacio público. Recientemente, alguien robó un Ratón Poderoso que estaba conectado a él. Sé el período de tiempo en que sucedió, así que me preguntaba si puedo averiguar qué tipo de actividad estaba ocurriendo en ese momento. Por ejemplo, qué usuarios estaban iniciando sesión, qué aplicaciones estaban ejecutando y cuándo fue la última vez que se conectó este mouse USB. Ya revisé los registros del sistema y del núcleo y proporcionan solo un poco de información útil. ¿Cuáles son las mejores prácticas para auditar el uso de Mac?

¡Gracias!

macos  security 
Serg
fuente
Lo dudo mucho. ¿Ha considerado instalar un keylogger (de algún tipo) que registra las claves, esto le daría una forma más precisa.
Phorce

Respuestas:

2

Si no instaló la contabilidad del sistema en esta Mac, no hay forma de recuperar los procesos en el momento de este mal evento.

Puede encontrar cuándo se conectó este mouse por última vez buscando en /var/log/kernel.log. En versiones más recientes de OSX (Yosemite, El Capitan, Sierra) /var/log/kernel.logse fusiona /var/log/system.log. Dentro de terminalo xtermsimplemente escriba:

grep -i usb /var/log/kernel.log

o en versiones más recientes de OSX:

grep -i usb /var/log/system.log

Si necesita buscar más, simplemente use las versiones anteriores comprimidas y guardadas con:

bzgrep -i usb /var/log/kernel.log.[3210].bz2

o en versiones más recientes de OSX:

zgrep -i usb /var/log/system.log.[3210].gz

Para verificar quién estaba conectado en su sistema, simplemente use el lastcomando.

Si desea tener una función de auditoría básica en su sistema, puede comenzar fácilmente encendiendo la contabilidad del sistema. Aquí está cómo encenderlo. Todos estos comandos deben escribirse con la rootcuenta. (Tenga cuidado con cualquier letra escrita, incluso un espacio cuenta).

/usr/bin/sudo -s
[...]
mkdir /var/account
touch /var/account/acct
accton /var/account/acct
exit

Puede verificar inmediatamente que a partir de ahora y para siempre, el núcleo está registrando cualquier programa iniciado:

lastcomm

Como un simple ejemplo de uso, el siguiente comando le mostrará qué comandos se usaron desde el inicio de la contabilidad del núcleo:

lastcomm root
dan
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.