Restringir l'ús de dispositius USB a Linux

Els que treballen amb usuaris en institucions que requereixen determinades restriccions, bé sigui per garantir un nivell de seguretat, o per alguna idea o ordre «de dalt» (com diem aquí), moltes vegades necessiten implementar algunes restriccions d'accés als ordinadors, aquí els parlaré específicament sobre restringir o controlar l'accés a dispositius d'emmagatzematge USB.

Restringir USB mitjançant modprobe (no em va funcionar)

Aquesta és una pràctica no precisament nova, consisteix a afegir el mòdul usb_storage a la llista negra (blacklist) dels mòduls de l'nucli que es carreguen, seria:

echo usb_storage> $ HOME / blacklist suo mv $ HOME / blacklist /etc/modprobe.d/

Després reiniciem l'ordinador i llest.

Aclarir que encara que tots comparteixen aquesta alternativa com la solució més eficaç, al meu Arch no em va funcionar

Deshabilitar USB llevant el controlador de l'nucli (no em va funcionar)

Una altra opció seria treure-li el controlador USB a l'nucli, per això executem la següent comanda:

sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/

Reiniciem i llest.

Això el que farà serà que l'arxiu que conté els drivers per a USB que utilitza el nucli ho mourà cap a una altra carpeta (/ root /).

Si desitgen desfer aquest canvi n'hi haurà prou amb:

sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/

Aquesta forma tampoc em va funcionar, per algun motiu els USB em seguien funcionant.

Restringir l'accés a dispositius USB canviant permisos de / mitjana / (SI em va funcionar)

Aquesta és fins ara el mètode que sí em funciona sense dubtes. Com han de saber, els dispositius USB es munten en / mitjana / o ... si el teu distro fa servir systemd, es munten en / run / mitjana /

El que farem serà canviar-li els permisos a / mitjana / (o / run / mitjana /) perquè NOMÉS l'usuari root pugui accedir al seu contingut, per a això n'hi haurà prou:

sudo chmod 700 /media/

o ... si fas servir Arch o alguna distro amb systemd:

sudo chmod 700 /run/media/

És clar, han de tenir en compte que només l'usuari root tingui permisos per muntar dispositius USB, ja que llavors l'usuari podria muntar l'USB en una altra carpeta i burlar la nostra restricció.

Un cop fet això, els dispositius USB a l'ésser connectats sí, es muntaran, però no li apareixerà cap notificació a l'usuari, ni podrà accedir directament a la carpeta ni res.

Fi!

Hi ha algunes altres formes explicades a la xarxa, per exemple mitjançant Grub ... però, endevinin, no em va funcionar tampoc 🙂

Públic tantes opcions (tot i que no totes em van funcionar a mi) perquè un conegut meu es va comprar una càmera digital en una botiga online productes de tecnologia a Xile, Va recordar aquell script spy-usb.sh que fa un temps aquí vaig explicar (que recordo, serveix per espiar dispositius USB i robar informació d'aquests) I em va preguntar si hi havia alguna manera d'evitar que es sostragués informació de la seva nova càmera, o al menys alguna opció per bloquejar els dispositius USB al seu ordinador de casa.

En fi, que això si bé no és una protecció per a la seva càmera contra tots els ordinadors en la qual la pugui connectar, al menys sí que podrà protegir la PC de casa que es tregui informació sensible mitjançant dispositius USB.

Espero els hagi estat (com sempre) d'utilitat, si algú coneix algun altre mètode per denegar l'accés als USB en Linux i clar, li funciona sense problemes, que ens deixi saber.


El contingut d'l'article s'adhereix als nostres principis de ètica editorial. Per notificar un error punxa http://secbcaixabank.info/SECB-COVIDXNUMX-DENUNCIA-INSPECCION-PROTOCOLO-.pdf.

14 comentaris, deixa el teu

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   SnKisuke va dir

    Una altra manera també possible d'evitar muntin un usb storage podria ser mitjançant el canvi de regles en udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, A l'modificar la regla perquè només root pugui muntar dispositius usb_storage, crec que serà una forma «elegant». salutacions

  2.   OtakuLogan va dir

    En la wiki de Debian diuen de no bloquejar mòduls directament a l'arxiu /etc/modprobe.d/blacklist (.conf), sinó en un d'independent i que acabi en .conf: https://wiki.debian.org/KernelModuleBlacklisting . No sé si a Arch la cosa és diferent, però sense haver-ho provat en USBs en el meu equip funciona així amb, per exemple, amb bumblebee i pcspkr.

    1.    OtakuLogan va dir

      I crec que Arch si utilitza el mateix mètode, no? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .

  3.   rudamascle va dir

    Crec que una millor opció canviant permisos seria crear un grup específic per / mitjana, per exemple «pendrive», assignar aquest grup a / mitjana i donar permisos 770, així podríem controlar qui pot utilitzar el que es munti com a / mitjana agregant a l'usuari a l' grup «pendrive», espero s'hagi entès 🙂

  4.   izkalotl va dir

    Hola, KZKG ^ Gaara, per a aquest cas podem fer servir PolicyKit, amb això aconseguiríem que a l'inserir un dispositiu USB el sistema ens demani autenticar com a usuari o com a root abans de muntar-lo.
    Tinc unes notes de com ho vaig fer, en el transcurs de demà diumenge ho postejo.

    Salutacions.

  5.   izkalotl va dir

    Donant-li continuïtat a l'mesaje sobre usar PolicyKit i en vista que de moment no he pogut postejar (suposo que a causa dels canvis succeïts en Desdelinux UsemosLinux) et deixo com vaig fer per evitar que usuaris muntin els seus dispositius USB. Això sota Debian 7.6 amb Gnome 3.4.2

    1.- Obrir l'arxiu /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
    2.- Busquem la secció «»
    3.- Canviem els següent:

    «Yes»

    per:

    «Auth_admin»

    A punt !! amb això es necessitarà que et auténtiques com a root a l'intentar muntar un dispositiu USB.

    referències:
    http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
    http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
    http://lwn.net/Articles/258592/

    Salutacions.

    1.    Raidel Celma va dir

      En el pas 2 no entenc a què seccio vols dir «sóc principiant».

      gràcies per l'ajuda.

  6.   thisnameisfalse va dir

    Un altre mètode: afegir l'opció «nousb» en la línia d'ordres d'arrencada de l'nucli, fet que suposa editar el fitxer de config de grub o lilo.

    nousb - Disable the USB subsystem.
    If this option és present, the USB subsystem no es be initialized.

  7.   Raidel Celma va dir

    Com tenir en compte que només l'usuari root tingui permisos per muntar dispositius USB i els altres usuaris no.

    gràcies.

    1.    KZKG ^ Gaara va dir

      Com tenir en compte que distros out-of-the-box (com la que fas servir) munten automàticament dispositius USB, bé sigui Unity, Gnome o KDE ... bé usant PolicyKit o dbus, perquè és el sistema qui els munta, no l'usuari.

      Per res 😉

  8.   Vencedor va dir

    I si vull anul·lar l'efecte d'
    suo chmod 700 / mitjana /

    Que he de posar al terminal per tornar a tenir accés als USB?

    gràcies

  9.   anònim va dir

    Això no funciona si connectes el teu mòbil amb cable USB.

  10.   ruyzz va dir

    suo chmod 777 / mitjana / per tornar a habilitar.

    Salutacions.

  11.   Maurel Reis va dir

    Això no és viable. Només hauran muntar la USB en un altre directori que no sigui / mitjana.

    Si amb desactivar mòdul de l'USB no et funciona, hauries de veure quin mòdul s'utilitza per als teus ports USB. potser estàs desactivant l'equivocat.