Ograničite upotrebu USB uređaja u Linuxu

Oni koji rade s korisnicima u institucijama koje zahtijevaju određena ograničenja, bilo da bi se garantovao nivo sigurnosti, bilo nekom idejom ili naredbom „odozgo“ (kao što ovdje kažemo), mnogo puta moraju primijeniti neka ograničenja pristupa na računarima, ovdje Konkretno ću govoriti o ograničavanju ili kontroli pristupa USB memorijskim uređajima.

Ograniči USB pomoću modprobe (kod mene nije radio)

Ovo nije baš nova praksa, sastoji se od dodavanja modula usb_storage na crnu listu učitanih modula jezgra, a to bi bilo:

echo usb_storage> $ HOME / crna lista sudo mv $ HOME / crna lista /etc/modprobe.d/

Zatim ponovo pokrenemo računar i to je to.

Pojasnite da, iako svi dijele ovu alternativu kao najefikasnije rješenje, u mom Archu mi nije uspjela

Onemogućite USB uklanjanjem upravljačkog programa kernela (kod mene nije radio)

Druga opcija bila bi uklanjanje USB upravljačkog programa iz kernela, za to izvršavamo sljedeću naredbu:

sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/

Ponovo se pokrećemo i spremni.

Ovo će premjestiti datoteku koja sadrži USB upravljačke programe koje jezgra koristi u drugu mapu (/ root /).

Ako želite poništiti ovu promjenu, bit će dovoljno sa:

sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/

Ni ovaj način nije uspio kod mene, iz nekog razloga USB-ovi su i dalje radili za mene.

Ograničite pristup USB uređajima promjenom / medija / dozvola (AKO je to uspjelo kod mene)

Ovo je zasad metoda koja mi sigurno odgovara. Kao što biste trebali znati, USB uređaji se montiraju na / media / o ... ako vaš distro koristi systemd, oni se montiraju na / run / media /

Ono što ćemo učiniti je promijeniti dozvole u / media / (ili / run / media /) tako da SAMO root korisnik može pristupiti njegovom sadržaju, za ovo će biti dovoljno:

sudo chmod 700 /media/

ili ... ako koristite Arch ili bilo koji distro sa systemd:

sudo chmod 700 /run/media/

Naravno, moraju uzeti u obzir da samo root korisnik ima dozvolu za montiranje USB uređaja, jer bi tada korisnik mogao USB montirati u drugu mapu i zaobići naša ograničenja.

Nakon što se to učini, USB uređaji kada se povežu bit će montirani, ali korisniku se neće pojaviti obavijest, niti će moći izravno pristupiti mapi ili bilo čemu drugom.

Kraj!

Postoje neki drugi načini objašnjeni na mreži, na primjer upotreba Gruba ... ali, pogodite, ni meni to nije pošlo za rukom 🙂

Objavljujem toliko opcija (iako mi nisu sve radile) jer je moj poznanik kupio digitalni fotoaparat u a internet trgovina tehnoloških proizvoda u Čileu, sjetio se te skripte spy-usb.sh to sam maloprije objasnio ovdjeSjećam se, služi za špijuniranje USB uređaja i krađu podataka s njih) i pitao me postoji li način da se spriječi krađa informacija s njegove nove kamere ili barem neka opcija za blokiranje USB uređaja na njegovom kućnom računaru.

U svakom slučaju, iako ovo nije zaštita vaše kamere od svih računara na koje je možete povezati, barem će moći zaštititi kućni računar od uklanjanja osjetljivih podataka putem USB uređaja.

Nadam se da vam je bilo korisno (kao i uvijek), ako neko zna bilo koji drugi način uskraćivanja pristupa USB-u u Linuxu i naravno, to radi bez problema, javite nam.


Sadržaj članka pridržava se naših principa urednička etika. Da biste prijavili grešku, kliknite ovdje.

14 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   SnKisuke rekao je

    Drugi mogući način za sprečavanje montiranja usb memorije mogao bi biti promjena pravila u udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, izmjenom pravila tako da samo root može montirati usb_storage uređaje, mislim da će to biti "fensi" način. Živjeli

  2.   OtakuLogan rekao je

    U wiki Debianu kažu da ne blokiraju module izravno u datoteci /etc/modprobe.d/blacklist (.conf), već u neovisnoj koja završava na .conf: https://wiki.debian.org/KernelModuleBlacklisting . Ne znam da li su stvari drugačije u Archu, ali bez da sam isprobao na USB-u na svom računaru, ovako radi, na primjer, sa bumbarima i pcspkr-om.

    1.    OtakuLogan rekao je

      I mislim da Arch koristi istu metodu, zar ne? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .

  3.   rudamacho rekao je

    Mislim da bi bolja opcija promjenom dozvola bila stvaranje određene grupe za / media, na primjer "pendrive", dodjeljivanje te grupe / media i davanje dozvola 770, kako bismo mogli kontrolirati tko može koristiti ono što je montirano na / media dodavanjem korisnika u grupa «pendrive», nadam se da ste razumjeli 🙂

  4.   izkalotl rekao je

    Pozdrav, KZKG ^ Gaara, u ovom slučaju možemo koristiti policykit, čime bismo postigli da prilikom umetanja USB uređaja sistem traži da se autentificiramo kao korisnik ili root prije nego što ga montiramo.
    Imam neke bilješke o tome kako sam to učinio, u nedjelju ujutro objavljujem.

    Pozdrav.

  5.   izkalotl rekao je

    Dajući kontinuitet poruci o korištenju policykita i s obzirom na činjenicu da trenutno nisam bio u mogućnosti objaviti (pretpostavljam da zbog promjena koje su se dogodile u Desdelinux UsemosLinuxu) ostavljam vas kao da sam spriječio korisnike da montiraju svoje USB uređaje. Ovo pod Debianom 7.6 s Gnomom 3.4.2

    1.- Otvorite datoteku /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
    2.- Tražimo odjeljak «»
    3.- Mijenjamo sljedeće:

    "I jeste"

    od:

    "Auth_admin"

    Spremni !! ovo će vam trebati da se potvrdite kao root kada pokušavate montirati USB uređaj.

    Reference:
    http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
    http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
    http://lwn.net/Articles/258592/

    Pozdrav.

    1.    Raidel celma rekao je

      U koraku 2 ne razumijem na koji odjeljak mislite "Početnik sam."

      Hvala na pomoći.

  6.   thisnameisfalse rekao je

    Druga metoda: dodajte opciju "nousb" u naredbenu liniju pokretanja kernela, što uključuje uređivanje datoteke konfiguracije grub ili lilo.

    nousb - Onemogućite USB podsistem.
    Ako je ova opcija prisutna, USB podsistem neće biti inicijaliziran.

  7.   Raidel celma rekao je

    Kako imati na umu da samo root korisnik ima dozvolu za montiranje USB uređaja, a ostali korisnici nemaju.

    Hvala.

    1.    KZKG ^ Gaara rekao je

      Kako imati na umu da distributivni paketi (poput one koju koristite) automatski montiraju USB uređaje, bilo Unity, Gnome ili KDE ... bilo pomoću policykita ili dbusa, jer ih montira sistem, a ne korisnik.

      Ni za šta 😉

  8.   pobjednik rekao je

    A ako želim otkazati učinak
    sudo chmod 700 / znači /

    Šta trebam staviti u terminal da vratim pristup USB-u?

    hvala

  9.   Anónimo rekao je

    To ne funkcionira ako svoj mobitel povežete USB kabelom.

  10.   ruyzz rekao je

    sudo chmod 777 / media / za ponovno omogućavanje.

    Pozdrav.

  11.   Maurel reyes rekao je

    To nije izvedivo. USB bi trebali montirati samo u direktorij koji nije / media.

    Ako onemogućavanje USB modula ne radi za vas, trebali biste vidjeti koji se modul koristi za vaše USB portove. možda onemogućavate pogrešnu.