Тези, които работят с потребители в институции, които изискват определени ограничения, или за гарантиране на ниво на сигурност, или по някаква идея или заповед "отгоре" (както казваме тук), много пъти трябва да приложат някои ограничения за достъп на компютри, тук ще говори конкретно за ограничаване или контрол на достъпа до USB устройства за съхранение.
Индекс
Ограничете USB с помощта на modprobe (не работи при мен)
Това не е точно нова практика, състои се от добавяне на модула usb_storage към черния списък на заредените модули на ядрото, би било:
echo usb_storage> $ HOME / черен списък sudo mv $ HOME / черен списък /etc/modprobe.d/
След това рестартираме компютъра и готово.
Деактивирайте USB, като премахнете драйвера на ядрото (не работи при мен)
Друга възможност би била да премахнете USB драйвера от ядрото, за това изпълняваме следната команда:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
Рестартираме и сме готови.
Това ще премести файла, съдържащ USB драйверите, използвани от ядрото, в друга папка (/ root /).
Ако искате да отмените тази промяна, ще бъде достатъчно с:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
Ограничете достъпа до USB устройства, като промените / медия / разрешения (АКО работи за мен)
Това засега е методът, който със сигурност работи за мен. Както трябва да знаете, USB устройствата са монтирани на / media / o ... ако вашата дистрибуция използва systemd, те са монтирани на / run / media /
Това, което ще направим, е да променим разрешенията на / media / (или / run / media /), така че САМО коренният потребител да има достъп до съдържанието му, за това ще бъде достатъчно:
sudo chmod 700 /media/
или ... ако използвате Arch или някакъв дистрибутор със systemd:
sudo chmod 700 /run/media/
След като това бъде направено, USB устройствата, когато са свързани, ще бъдат монтирани, но на потребителя няма да се появи известие, нито ще имат пряк достъп до папката или нещо друго.
Край!
Има някои други начини, обяснени в мрежата, например използване на Grub ... но познайте какво, и при мен не се получи 🙂
Публикувам толкова много опции (въпреки че не всички от тях са работили за мен), защото мой познат си купи цифров фотоапарат в онлайн магазин за технологични продукти в Чили, той си спомни този сценарий spy-usb.sh че преди малко обясних тукСпомням си, той служи за шпиониране на USB устройства и кражба на информация от тях) и ме попита дали има някакъв начин да се предотврати кражба на информация от новата му камера или поне някаква опция за блокиране на USB устройства на домашния му компютър.
Както и да е, въпреки че това не е защита за вашата камера срещу всички компютри, в които можете да я свържете, поне ще може да защити домашния компютър от премахването на чувствителна информация чрез USB устройства.
Надявам се, че е било (както винаги) полезно за вас, ако някой знае за друг метод за отказване на достъп до USB в Linux и разбира се, той работи без проблеми, уведомете ни.
16 коментара, оставете своя
Друг възможен начин да избегнете монтирането на usb хранилище може да бъде чрез промяна на правилата в udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, чрез модифициране на правилото, така че само root да може да монтира usb_storage устройства, мисля, че това ще бъде "изискан" начин. за разбирането
В уикито на Debian се казва, че не се блокират модули директно във файла /etc/modprobe.d/blacklist (.conf), а в независим, който завършва на .conf: https://wiki.debian.org/KernelModuleBlacklisting . Не знам дали нещата са различни в Arch, но без да съм го пробвал на USB на компютъра си, работи по този начин, например с bumblebee и pcspkr.
И мисля, че Arch използва същия метод, нали? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
Мисля, че по-добър вариант чрез промяна на разрешенията би бил създаването на определена група за / media, например "pendrive", присвояване на тази група на / media и даване на разрешения 770, за да можем да контролираме кой може да използва това, което е монтирано на / media от добавяйки потребителя към групата «pendrive», надявам се, че сте разбрали 🙂
Здравейте, KZKG ^ Gaara, за този случай можем да използваме policykit, с това бихме постигнали, че при вмъкване на USB устройство системата ни иска да удостоверим като потребител или root, преди да го монтираме.
Имам някои бележки как го направих, в хода на неделната сутрин го публикувам.
Поздрави.
Предоставяйки приемственост на съобщението за използване на policykit и с оглед на факта, че към момента не съм успял да публикувам (предполагам, че поради промените, които се случиха в Desdelinux UsemosLinux), оставям ви както направих, за да попреча на потребителите да се монтират техните USB устройства. Това под Debian 7.6 с Gnome 3.4.2
1. - Отворете файла /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2.- Търсим раздела «»
3. - Променяме следното:
"И това е"
от:
"Auth_admin"
Готов!! това ще изисква да удостоверите като root, когато се опитвате да монтирате USB устройство.
Референции:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
Поздрави.
В стъпка 2 не разбирам в кой раздел имате предвид „Аз съм начинаещ“.
Благодаря за помощта.
Друг метод: добавете опцията "nousb" към командния ред за зареждане на ядрото, което включва редактиране на конфигурационния файл grub или lilo.
nousb - Деактивирайте USB подсистемата.
Ако тази опция е налице, USB подсистемата няма да бъде инициализирана.
Как да се има предвид, че само root потребителят има разрешения за монтиране на USB устройства, а останалите потребители нямат.
Благодаря.
Как да се има предвид, че дистрибуциите извън кутията (като този, който използвате) автоматично монтират USB устройства, или Unity, Gnome или KDE ... или с помощта на policykit, или dbus, защото системата ги монтира, не потребителят.
За нищо 😉
И ако искам да отменя ефекта на
sudo chmod 700 / медия /
Какво трябва да поставя в терминала, за да си възвърна достъпа до USB?
благодаря
Това не работи, ако свържете мобилния си телефон с USB кабел.
sudo chmod 777 / media / за повторно активиране.
Поздрави.
Това не е осъществимо. Те трябва да монтират USB само в директория, различна от / media.
Ако деактивирането на USB модула не работи за вас, трябва да видите кой модул се използва за вашите USB портове. може би деактивирате грешната.
Определено най-лесният начин, от известно време търся такъв и не се сещах за този, който ми беше под носа. Много благодаря
Определено най-лесният начин. От известно време търся такъв и не можах да се сетя за този, който беше точно под носа ми. Много благодаря