أولئك الذين يعملون مع المستخدمين في المؤسسات التي تتطلب قيودًا معينة ، إما لضمان مستوى من الأمان ، أو من خلال فكرة أو أمر "من أعلى" (كما نقول هنا) ، يحتاجون عدة مرات إلى تنفيذ بعض قيود الوصول على أجهزة الكمبيوتر ، هنا سأتحدث بشكل خاص عن تقييد أو التحكم في الوصول إلى أجهزة تخزين USB.
تقييد USB باستخدام modprobe (لم يعمل معي)
هذه ليست ممارسة جديدة تمامًا ، فهي تتكون من إضافة وحدة usb_storage إلى القائمة السوداء لوحدات kernel التي تم تحميلها ، وستكون:
echo usb_storage> $ HOME / القائمة السوداء sudo mv $ HOME / blacklist /etc/modprobe.d/
ثم نقوم بإعادة تشغيل الكمبيوتر وهذا كل شيء.
تعطيل USB عن طريق إزالة برنامج تشغيل kernel (لم يعمل لي)
هناك خيار آخر يتمثل في إزالة برنامج تشغيل USB من النواة ، لذلك نقوم بتنفيذ الأمر التالي:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
نحن نعيد التشغيل وجاهزين.
سيؤدي هذا إلى نقل الملف الذي يحتوي على برامج تشغيل USB المستخدمة بواسطة kernel إلى مجلد آخر (/ root /).
إذا كنت تريد التراجع عن هذا التغيير فسيكون ذلك كافيًا مع:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
تقييد الوصول إلى أجهزة USB عن طريق تغيير / الوسائط / الأذونات (إذا نجحت معي)
هذه هي الطريقة التي تناسبني بالتأكيد. كما يجب أن تعلم ، يتم تثبيت أجهزة USB على / media / o ... إذا كانت توزيعة تستخدم systemd ، يتم تثبيتها / تشغيل / وسائط /
ما سنفعله هو تغيير الأذونات إلى / media / (أو / run / media /) بحيث يتمكن المستخدم الجذر فقط من الوصول إلى محتواه ، لذلك يكفي:
sudo chmod 700 /media/
أو ... إذا كنت تستخدم Arch أو أي توزيعة مع systemd:
sudo chmod 700 /run/media/
بمجرد الانتهاء من ذلك ، سيتم تثبيت أجهزة USB عند الاتصال ، ولكن لن يظهر أي إشعار للمستخدم ، ولن يتمكن من الوصول مباشرة إلى المجلد أو أي شيء.
النهاية!
هناك بعض الطرق الأخرى الموضحة على الشبكة ، على سبيل المثال استخدام Grub ... لكن ، خمن ماذا ، لم ينجح معي أيضًا either
أنشر الكثير من الخيارات (على الرغم من أن جميعها لم تعمل معي) لأن أحد معارفي اشترى كاميرا رقمية في منتجات تكنولوجيا المتجر على الإنترنت في شيلي، تذكرت هذا السيناريو تجسس USB.sh أنه منذ فترة شرحت هناأتذكر أنه يعمل على التجسس على أجهزة USB وسرقة المعلومات منها) وسألني عما إذا كان هناك أي طريقة لمنع سرقة المعلومات من كاميرته الجديدة ، أو على الأقل بعض الخيارات لحظر أجهزة USB على جهاز الكمبيوتر في المنزل.
على أي حال ، على الرغم من أن هذه ليست حماية للكاميرا الخاصة بك ضد جميع أجهزة الكمبيوتر التي يمكنك توصيلها بها ، إلا أنها على الأقل ستكون قادرة على حماية الكمبيوتر المنزلي من إزالة المعلومات الحساسة عبر أجهزة USB.
آمل أن يكون مفيدًا (كما هو الحال دائمًا) ، إذا كان أي شخص يعرف أي طريقة أخرى لمنع الوصول إلى USB في Linux وبالطبع ، فهو يعمل دون مشاكل ، أخبرنا بذلك.
هناك طريقة أخرى محتملة لمنع تركيب وحدة تخزين USB وهي تغيير القواعد في udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd، من خلال تعديل القاعدة بحيث يمكن فقط للجذر تحميل أجهزة usb_storage ، أعتقد أنها ستكون طريقة "خيالية". في صحتك
في ويكي دبيان يقولون إنه لا يمنع الوحدات النمطية مباشرة في الملف /etc/modprobe.d/blacklist (.conf) ، ولكن في ملف مستقل ينتهي بـ .conf: https://wiki.debian.org/KernelModuleBlacklisting . لا أعرف ما إذا كانت الأشياء مختلفة في Arch ، ولكن دون تجربتها على USB على جهاز الكمبيوتر الخاص بي ، فإنها تعمل على هذا النحو ، على سبيل المثال ، bumblebee و pcspkr.
وأعتقد أن آرتش تستخدم نفس الطريقة ، أليس كذلك؟ https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
أعتقد أن الخيار الأفضل من خلال تغيير الأذونات هو إنشاء مجموعة محددة لـ / وسائط ، على سبيل المثال "pendrive" ، وتعيين هذه المجموعة إلى / media ومنح أذونات 770 ، حتى نتمكن من التحكم في من يمكنه استخدام ما تم تثبيته على / الوسائط بواسطة إضافة المستخدم إلى مجموعة «بندريف» ، أتمنى أن تكون قد فهمت 🙂
مرحبًا ، KZKG ^ Gaara ، في هذه الحالة ، يمكننا استخدام Policykit ، وبذلك نحقق ذلك عند إدخال جهاز USB يطلب منا النظام المصادقة كمستخدم أو جذر قبل تركيبه.
لدي بعض الملاحظات حول كيفية القيام بذلك ، في صباح يوم الأحد أنشرها.
تحية.
استمرارية الرسالة حول استخدام مجموعة السياسات ونظرًا لأنني لم أتمكن في الوقت الحالي من النشر (أفترض أنه بسبب التغييرات التي حدثت في Desdelinux دعنا نستخدم Linux) أترك لك كيف فعلت لمنع المستخدمين من تركيب أجهزة USB الخاصة بهم. هذا تحت دبيان 7.6 مع جنوم 3.4.2
1.- افتح الملف /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2.- نبحث عن قسم «»
3.- نقوم بتغيير ما يلي:
"و هو"
بواسطة:
"Auth_admin"
جاهز!! سيتطلب هذا منك المصادقة كجذر عند محاولة تركيب جهاز USB.
المراجع:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
تحية.
في الخطوة 2 ، لا أفهم القسم الذي تقصده "أنا مبتدئ".
شكرا للمساعدة.
طريقة أخرى: إضافة خيار "nousb" إلى سطر أوامر kernel boot ، والذي يتضمن تحرير ملف التكوين grub أو lilo.
nousb - تعطيل نظام USB الفرعي.
إذا كان هذا الخيار موجودًا ، فلن تتم تهيئة نظام USB الفرعي.
كيف تضع في اعتبارك أن المستخدم الجذر فقط لديه أذونات لتحميل أجهزة USB والمستخدمين الآخرين لا يفعلون ذلك.
شكرا لك.
كيف تضع في اعتبارك أن التوزيعات الجاهزة (مثل تلك التي تستخدمها) تقوم تلقائيًا بتركيب أجهزة USB ، إما Unity أو Gnome أو KDE ... إما باستخدام policykit أو dbus ، لأن النظام هو الذي يقوم بتركيبها ، ليس المستخدم.
لا شيء 😉
وإذا أردت إلغاء تأثير
sudo chmod 700 / ميديا /
ما الذي يجب عليّ وضعه في الجهاز لاستعادة الوصول إلى USB؟
شكر
هذا لا يعمل إذا قمت بتوصيل هاتفك المحمول بكابل USB.
sudo chmod 777 / media / لإعادة التمكين.
تحية.
هذا ليس ممكنا يجب عليهم فقط تحميل USB في دليل آخر غير / media.
إذا كان تعطيل وحدة USB لا يناسبك ، فيجب أن ترى الوحدة المستخدمة لمنافذ USB. ربما تقوم بتعطيل الخطأ.
بالتأكيد أسهل طريقة ، لقد كنت أبحث عن واحدة منذ فترة ولم أستطع التفكير في الطريقة التي كانت تحت أنفي. شكرا جزيلا
بالتأكيد أسهل طريقة. لقد كنت أبحث عن واحد لفترة من الوقت ولم أستطع التفكير في الشخص الذي كان تحت أنفي. شكرا جزيلا