تقييد استخدام أجهزة USB في Linux

أولئك الذين يعملون مع المستخدمين في المؤسسات التي تتطلب قيودًا معينة ، إما لضمان مستوى من الأمان ، أو من خلال فكرة أو أمر "من أعلى" (كما نقول هنا) ، يحتاجون عدة مرات إلى تنفيذ بعض قيود الوصول على أجهزة الكمبيوتر ، هنا سأتحدث بشكل خاص عن تقييد أو التحكم في الوصول إلى أجهزة تخزين USB.

تقييد USB باستخدام modprobe (لم يعمل معي)

هذه ليست ممارسة جديدة تمامًا ، فهي تتكون من إضافة وحدة usb_storage إلى القائمة السوداء لوحدات kernel التي تم تحميلها ، وستكون:

echo usb_storage> $ HOME / القائمة السوداء sudo mv $ HOME / blacklist /etc/modprobe.d/

ثم نقوم بإعادة تشغيل الكمبيوتر وهذا كل شيء.

وضح أنه على الرغم من مشاركة الجميع في هذا البديل باعتباره الحل الأكثر فعالية ، إلا أنه لم ينجح معي في القوس

تعطيل USB عن طريق إزالة برنامج تشغيل kernel (لم يعمل لي)

هناك خيار آخر يتمثل في إزالة برنامج تشغيل USB من النواة ، لذلك نقوم بتنفيذ الأمر التالي:

sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/

نحن نعيد التشغيل وجاهزين.

سيؤدي هذا إلى نقل الملف الذي يحتوي على برامج تشغيل USB المستخدمة بواسطة kernel إلى مجلد آخر (/ root /).

إذا كنت تريد التراجع عن هذا التغيير فسيكون ذلك كافيًا مع:

sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/

لم تنجح هذه الطريقة بالنسبة لي أيضًا ، لسبب ما استمرت أجهزة USB في العمل من أجلي.

تقييد الوصول إلى أجهزة USB عن طريق تغيير / الوسائط / الأذونات (إذا نجحت معي)

هذه هي الطريقة التي تناسبني بالتأكيد. كما يجب أن تعلم ، يتم تثبيت أجهزة USB على / media / o ... إذا كانت توزيعة تستخدم systemd ، يتم تثبيتها / تشغيل / وسائط /

ما سنفعله هو تغيير الأذونات إلى / media / (أو / run / media /) بحيث يتمكن المستخدم الجذر فقط من الوصول إلى محتواه ، لذلك يكفي:

sudo chmod 700 /media/

أو ... إذا كنت تستخدم Arch أو أي توزيعة مع systemd:

sudo chmod 700 /run/media/

بالطبع ، يجب أن يأخذوا في الاعتبار أن المستخدم الجذر فقط لديه أذونات لتحميل أجهزة USB ، لأنه بعد ذلك يمكن للمستخدم تحميل USB في مجلد آخر والتحايل على قيودنا.

بمجرد الانتهاء من ذلك ، سيتم تثبيت أجهزة USB عند الاتصال ، ولكن لن يظهر أي إشعار للمستخدم ، ولن يتمكن من الوصول مباشرة إلى المجلد أو أي شيء.

النهاية!

هناك بعض الطرق الأخرى الموضحة على الشبكة ، على سبيل المثال استخدام Grub ... لكن ، خمن ماذا ، لم ينجح معي أيضًا either

أنشر الكثير من الخيارات (على الرغم من أن جميعها لم تعمل معي) لأن أحد معارفي اشترى كاميرا رقمية في منتجات تكنولوجيا المتجر على الإنترنت في شيلي، تذكرت هذا السيناريو spy-usb.sh أنه منذ فترة شرحت هناأتذكر أنه يعمل على التجسس على أجهزة USB وسرقة المعلومات منها) وسألني عما إذا كان هناك أي طريقة لمنع سرقة المعلومات من كاميرته الجديدة ، أو على الأقل بعض الخيارات لحظر أجهزة USB على جهاز الكمبيوتر في المنزل.

على أي حال ، على الرغم من أن هذه ليست حماية للكاميرا الخاصة بك ضد جميع أجهزة الكمبيوتر التي يمكنك توصيلها بها ، إلا أنها على الأقل ستكون قادرة على حماية الكمبيوتر المنزلي من إزالة المعلومات الحساسة عبر أجهزة USB.

آمل أن يكون مفيدًا (كما هو الحال دائمًا) ، إذا كان أي شخص يعرف أي طريقة أخرى لمنع الوصول إلى USB في Linux وبالطبع ، فهو يعمل دون مشاكل ، أخبرنا بذلك.


محتوى المقال يلتزم بمبادئنا أخلاقيات التحرير. للإبلاغ عن خطأ انقر فوق هنا.

14 تعليقات ، اترك لك

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   SnKisuke قال

    هناك طريقة أخرى محتملة لمنع تركيب وحدة تخزين USB وهي تغيير القواعد في udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd، من خلال تعديل القاعدة بحيث يمكن فقط للجذر تحميل أجهزة usb_storage ، أعتقد أنها ستكون طريقة "خيالية". في صحتك

  2.   أوتاكو لوجان قال

    في ويكي دبيان يقولون إنه لا يمنع الوحدات النمطية مباشرة في الملف /etc/modprobe.d/blacklist (.conf) ، ولكن في ملف مستقل ينتهي بـ .conf: https://wiki.debian.org/KernelModuleBlacklisting . لا أعرف ما إذا كانت الأشياء مختلفة في Arch ، ولكن دون تجربتها على USB على جهاز الكمبيوتر الخاص بي ، فإنها تعمل على هذا النحو ، على سبيل المثال ، bumblebee و pcspkr.

    1.    أوتاكو لوجان قال

      وأعتقد أن آرتش تستخدم نفس الطريقة ، أليس كذلك؟ https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .

  3.   روداماتشو قال

    أعتقد أن الخيار الأفضل من خلال تغيير الأذونات هو إنشاء مجموعة محددة لـ / وسائط ، على سبيل المثال "pendrive" ، وتعيين هذه المجموعة إلى / media ومنح أذونات 770 ، حتى نتمكن من التحكم في من يمكنه استخدام ما تم تثبيته على / الوسائط بواسطة إضافة المستخدم إلى مجموعة «بندريف» ، أتمنى أن تكون قد فهمت 🙂

  4.   إزكالوتل قال

    مرحبًا ، KZKG ^ Gaara ، في هذه الحالة ، يمكننا استخدام Policykit ، وبذلك نحقق ذلك عند إدخال جهاز USB يطلب منا النظام المصادقة كمستخدم أو جذر قبل تركيبه.
    لدي بعض الملاحظات حول كيفية القيام بذلك ، في صباح يوم الأحد أنشرها.

    تحية.

  5.   إزكالوتل قال

    إعطاء استمرارية للرسالة المتعلقة باستخدام policykit وبالنظر إلى حقيقة أنه في الوقت الحالي لم أتمكن من النشر (أفترض أنه بسبب التغييرات التي حدثت في Desdelinux UsemosLinux) أتركك كما فعلت لمنع المستخدمين من تركيب أجهزة USB الخاصة بهم. هذا تحت Debian 7.6 مع Gnome 3.4.2

    1.- افتح الملف /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
    2.- نبحث عن قسم «»
    3.- نقوم بتغيير ما يلي:

    "و هو"

    بواسطة:

    "Auth_admin"

    جاهز!! سيتطلب هذا منك المصادقة كجذر عند محاولة تركيب جهاز USB.

    المراجع:
    http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
    http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
    http://lwn.net/Articles/258592/

    تحية.

    1.    رايدل سيلما قال

      في الخطوة 2 ، لا أفهم القسم الذي تقصده "أنا مبتدئ".

      شكرا للمساعدة.

  6.   thisnameisfalse قال

    طريقة أخرى: إضافة خيار "nousb" إلى سطر أوامر kernel boot ، والذي يتضمن تحرير ملف التكوين grub أو lilo.

    nousb - تعطيل نظام USB الفرعي.
    إذا كان هذا الخيار موجودًا ، فلن تتم تهيئة نظام USB الفرعي.

  7.   رايدل سيلما قال

    كيف تضع في اعتبارك أن المستخدم الجذر فقط لديه أذونات لتحميل أجهزة USB والمستخدمين الآخرين لا يفعلون ذلك.

    شكرا لك.

    1.    KZKG ^ جارا قال

      كيف تضع في اعتبارك أن التوزيعات الجاهزة (مثل تلك التي تستخدمها) تقوم تلقائيًا بتركيب أجهزة USB ، إما Unity أو Gnome أو KDE ... إما باستخدام policykit أو dbus ، لأن النظام هو الذي يقوم بتركيبها ، ليس المستخدم.

      لا شيء 😉

  8.   منتصر قال

    وإذا أردت إلغاء تأثير
    sudo chmod 700 / ميديا ​​/

    ما الذي يجب عليّ وضعه في الجهاز لاستعادة الوصول إلى USB؟

    شكر

  9.   مجهول قال

    هذا لا يعمل إذا قمت بتوصيل هاتفك المحمول بكابل USB.

  10.   رويز قال

    sudo chmod 777 / media / لإعادة التمكين.

    تحية.

  11.   موريل ريس قال

    هذا ليس ممكنا يجب عليهم فقط تحميل USB في دليل آخر غير / media.

    إذا كان تعطيل وحدة USB لا يناسبك ، فيجب أن ترى الوحدة المستخدمة لمنافذ USB. ربما تقوم بتعطيل الخطأ.