Oni koji rade s korisnicima u institucijama koje zahtijevaju određena ograničenja, bilo da bi se garantovao nivo sigurnosti, bilo nekom idejom ili naredbom „odozgo“ (kao što ovdje kažemo), mnogo puta moraju primijeniti neka ograničenja pristupa na računarima, ovdje Konkretno ću govoriti o ograničavanju ili kontroli pristupa USB memorijskim uređajima.
Ograniči USB pomoću modprobe (kod mene nije radio)
Ovo nije baš nova praksa, sastoji se od dodavanja modula usb_storage na crnu listu učitanih modula jezgra, a to bi bilo:
echo usb_storage> $ HOME / crna lista sudo mv $ HOME / crna lista /etc/modprobe.d/
Zatim ponovo pokrenemo računar i to je to.
Onemogućite USB uklanjanjem upravljačkog programa kernela (kod mene nije radio)
Druga opcija bila bi uklanjanje USB upravljačkog programa iz kernela, za to izvršavamo sljedeću naredbu:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
Ponovo se pokrećemo i spremni.
Ovo će premjestiti datoteku koja sadrži USB upravljačke programe koje jezgra koristi u drugu mapu (/ root /).
Ako želite poništiti ovu promjenu, bit će dovoljno sa:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
Ograničite pristup USB uređajima promjenom / medija / dozvola (AKO je to uspjelo kod mene)
Ovo je zasad metoda koja mi sigurno odgovara. Kao što biste trebali znati, USB uređaji se montiraju na / media / o ... ako vaš distro koristi systemd, oni se montiraju na / run / media /
Ono što ćemo učiniti je promijeniti dozvole u / media / (ili / run / media /) tako da SAMO root korisnik može pristupiti njegovom sadržaju, za ovo će biti dovoljno:
sudo chmod 700 /media/
ili ... ako koristite Arch ili bilo koji distro sa systemd:
sudo chmod 700 /run/media/
Nakon što se to učini, USB uređaji kada se povežu bit će montirani, ali korisniku se neće pojaviti obavijest, niti će moći izravno pristupiti mapi ili bilo čemu drugom.
Kraj!
Postoje neki drugi načini objašnjeni na mreži, na primjer upotreba Gruba ... ali, pogodite, ni meni to nije pošlo za rukom 🙂
Objavljujem toliko opcija (iako mi nisu sve radile) jer je moj poznanik kupio digitalni fotoaparat u a internet trgovina tehnoloških proizvoda u Čileu, sjetio se te skripte spy-usb.sh to sam maloprije objasnio ovdjeSjećam se, služi za špijuniranje USB uređaja i krađu podataka s njih) i pitao me postoji li način da se spriječi krađa informacija s njegove nove kamere ili barem neka opcija za blokiranje USB uređaja na njegovom kućnom računaru.
U svakom slučaju, iako ovo nije zaštita vaše kamere od svih računara na koje je možete povezati, barem će moći zaštititi kućni računar od uklanjanja osjetljivih podataka putem USB uređaja.
Nadam se da vam je bilo korisno (kao i uvijek), ako neko zna bilo koji drugi način uskraćivanja pristupa USB-u u Linuxu i naravno, to radi bez problema, javite nam.
Drugi mogući način za sprečavanje montiranja usb memorije mogao bi biti promjena pravila u udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, izmjenom pravila tako da samo root može montirati usb_storage uređaje, mislim da će to biti "fensi" način. Živjeli
U wiki Debianu kažu da ne blokiraju module izravno u datoteci /etc/modprobe.d/blacklist (.conf), već u neovisnoj koja završava na .conf: https://wiki.debian.org/KernelModuleBlacklisting . Ne znam da li su stvari drugačije u Archu, ali bez da sam isprobao na USB-u na svom računaru, ovako radi, na primjer, sa bumbarima i pcspkr-om.
I mislim da Arch koristi istu metodu, zar ne? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
Mislim da bi bolja opcija promjenom dozvola bila stvaranje određene grupe za / media, na primjer "pendrive", dodjeljivanje te grupe / media i davanje dozvola 770, kako bismo mogli kontrolirati tko može koristiti ono što je montirano na / media dodavanjem korisnika u grupa «pendrive», nadam se da ste razumjeli 🙂
Pozdrav, KZKG ^ Gaara, u ovom slučaju možemo koristiti policykit, čime bismo postigli da prilikom umetanja USB uređaja sistem traži da se autentificiramo kao korisnik ili root prije nego što ga montiramo.
Imam neke bilješke o tome kako sam to učinio, u nedjelju ujutro objavljujem.
Pozdrav.
Dajući kontinuitet poruci o korištenju policykit-a i s obzirom na to da trenutno nisam u mogućnosti objaviti (pretpostavljam zbog promjena koje su se dogodile u Desdelinux Hajde da koristimoLinux) Ostavljam vam kako sam učinio da spriječim korisnike da montiraju svoje USB uređaje. Ovo pod Debianom 7.6 sa Gnomeom 3.4.2
1.- Otvorite datoteku /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2.- Tražimo odjeljak «»
3.- Mijenjamo sljedeće:
"I jeste"
od:
"Auth_admin"
Spremni !! ovo će vam trebati da se potvrdite kao root kada pokušavate montirati USB uređaj.
Reference:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
Pozdrav.
U koraku 2 ne razumijem na koji odjeljak mislite "Početnik sam."
Hvala na pomoći.
Druga metoda: dodajte opciju "nousb" u naredbenu liniju pokretanja kernela, što uključuje uređivanje datoteke konfiguracije grub ili lilo.
nousb - Onemogućite USB podsistem.
Ako je ova opcija prisutna, USB podsistem neće biti inicijaliziran.
Kako imati na umu da samo root korisnik ima dozvolu za montiranje USB uređaja, a ostali korisnici nemaju.
Hvala.
Kako imati na umu da distributivni paketi (poput one koju koristite) automatski montiraju USB uređaje, bilo Unity, Gnome ili KDE ... bilo pomoću policykita ili dbusa, jer ih montira sistem, a ne korisnik.
Ni za šta 😉
A ako želim otkazati učinak
sudo chmod 700 / znači /
Šta trebam staviti u terminal da vratim pristup USB-u?
hvala
To ne funkcionira ako svoj mobitel povežete USB kabelom.
sudo chmod 777 / media / za ponovno omogućavanje.
Pozdrav.
To nije izvedivo. USB bi trebali montirati samo u direktorij koji nije / media.
Ako onemogućavanje USB modula ne radi za vas, trebali biste vidjeti koji se modul koristi za vaše USB portove. možda onemogućavate pogrešnu.
Definitivno najlakši način, tražio sam ga već neko vrijeme i nisam mogao da se setim onog koji mi je bio pod nosom. Hvala ti puno
Definitivno najlakši način. Jednog sam tražio neko vrijeme i nisam mogao smisliti onaj koji mi je bio pred nosom. Hvala ti puno