Ti, kteří pracují s uživateli v institucích, které vyžadují určitá omezení, ať už k zajištění určité úrovně zabezpečení, nebo z nějakého nápadu či objednávky „shora“ (jak zde říkáme), mnohokrát potřebují implementovat nějaká omezení přístupu na počítače, zde bude hovořit konkrétně o omezení nebo řízení přístupu k úložným zařízením USB.
Omezit USB pomocí modprobe (nepracoval pro mě)
Není to úplně nová praxe, spočívá v přidání modulu usb_storage na černou listinu načtených modulů jádra, bylo by to:
echo usb_storage> $ HOME / blacklist sudo mv $ HOME / blacklist /etc/modprobe.d/
Poté restartujeme počítač a je to.
Zakázat USB odebráním ovladače jádra (nepracoval pro mě)
Další možností by bylo odebrat ovladač USB z jádra, proto provedeme následující příkaz:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
Restartujeme a jsme připraveni.
To bude tak, že soubor obsahující ovladače USB používané jádrem jej přesune do jiné složky (/ root /).
Pokud chcete tuto změnu vrátit zpět, bude stačit:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
Omezení přístupu k zařízením USB změnou / média / oprávnění (POKUD to pro mě fungovalo)
Toto je zatím metoda, která pro mě určitě funguje. Jak byste měli vědět, zařízení USB jsou připojena k / media / o… pokud vaše distribuce používá systemd, jsou připojena k / run / media /
Co uděláme, je změnit oprávnění na / media / (nebo / run / media /), aby k jeho obsahu měl přístup POUZE uživatel root, k tomu to bude stačit:
sudo chmod 700 /media/
nebo ... pokud používáte Arch nebo jakékoli distro s systemd:
sudo chmod 700 /run/media/
Jakmile to uděláte, zařízení USB po připojení budou připojena, ale uživateli se nezobrazí žádné upozornění ani nebudou moci přímo přistupovat ke složce nebo cokoli jiného.
Konec!
Na internetu je vysvětleno několik dalších způsobů, například použití Grub ... ale hádejte co, nefungovalo to ani pro mě 🙂
Zveřejňuji tolik možností (i když ne všechny pro mě fungovaly), protože můj známý koupil digitální fotoaparát na technologické produkty online obchodu v Chile, pamatoval si ten scénář spy-usb.sh že před chvílí jsem to vysvětlilPamatuji si, že slouží ke špehování zařízení USB a získávání informací z nich) a zeptal se mě, jestli existuje způsob, jak zabránit odcizení informací z jeho nové kamery, nebo alespoň nějakou možnost blokování zařízení USB na jeho domácím počítači.
Přestože se nejedná o ochranu fotoaparátu před všemi počítači, ke kterým jej můžete připojit, bude alespoň schopen ochránit domácí počítač před odstraněním citlivých informací prostřednictvím zařízení USB.
Doufám, že to pro vás bylo (jako vždy) užitečné, pokud někdo ví o jakékoli jiné metodě odepření přístupu k USB v Linuxu a samozřejmě to funguje bez problémů, dejte nám vědět.
Dalším možným způsobem, jak zabránit připojení úložiště USB, může být změna pravidel v udev http://www.reactivated.net/writing_udev_rules.html#example-usbhddúpravou pravidla, aby zařízení usb_storage mohl připojit pouze root, si myslím, že to bude „vymyšlený“ způsob. Na zdraví
Na Debianu wiki říkají, že neblokují moduly přímo v souboru /etc/modprobe.d/blacklist (.conf), ale v nezávislém souboru, který končí na .conf: https://wiki.debian.org/KernelModuleBlacklisting . Nevím, jestli se věci v Archu liší, ale aniž bych to vyzkoušel na USB na mém počítači, funguje to takto například s čmelákem a pcspkr.
A myslím, že Arch používá stejnou metodu, že? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
Myslím, že lepší možností změnou oprávnění by bylo vytvořit konkrétní skupinu pro / media, například „pendrive“, přiřadit tuto skupinu k / media a udělit oprávnění 770, abychom mohli kontrolovat, kdo může používat to, co je připojeno k / media přidáním uživatele do skupiny «pendrive» doufám, že jste to pochopili 🙂
Dobrý den, KZKG ^ Gaara, v tomto případě můžeme použít policykit, čímž bychom dosáhli toho, že při vložení zařízení USB nás systém před připojením požádá o ověření jako uživatel nebo root.
Mám několik poznámek, jak jsem to udělal, v neděli ráno to zveřejním.
Zdravím.
Dávám kontinuitu zprávě o používání policykitu a vzhledem k tomu, že v tuto chvíli nemohu přidávat příspěvky (předpokládám kvůli změnám, ke kterým došlo v Desdelinux Let's UseLinux) Nechám vás, jak jsem to udělal, abych zabránil uživatelům v připojování jejich USB zařízení. To pod Debian 7.6 s Gnome 3.4.2
1. - Otevřete soubor /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2.- Hledáme sekci «»
3. - Změníme následující:
"A to je"
od:
„Auth_admin“
Připraveno !! při pokusu o připojení zařízení USB bude vyžadováno ověření jako root.
reference:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
Zdravím.
V kroku 2 nerozumím, kterou část máte na mysli „Jsem začátečník.“
díky za pomoc.
Další metoda: přidejte do příkazového řádku spouštění jádra možnost „nousb“, která zahrnuje úpravy konfiguračního souboru grub nebo lilo.
nousb - Zakáže subsystém USB.
Pokud je tato možnost k dispozici, subsystém USB nebude inicializován.
Jak mít na paměti, že oprávnění k připojení zařízení USB má pouze uživatel root a ostatní uživatelé ne.
Děkuju.
Jak mít na paměti, že distribuce připravené k okamžitému použití (jako je ta, kterou používáte) automaticky připojují zařízení USB, ať už Unity, Gnome nebo KDE ... buď pomocí policykit nebo dbus, protože je to systém, který je připojuje, ne uživatel.
Za nic 😉
A pokud chci zrušit účinek
sudo chmod 700 / průměr /
Co bych měl dát do terminálu, abych znovu získal přístup k USB?
díky
To nefunguje, pokud připojíte mobilní telefon pomocí kabelu USB.
sudo chmod 777 / media / znovu povolit.
Zdravím.
To není možné. Měli by připojit pouze USB do jiného adresáře než / media.
Pokud vám deaktivace modulu USB nefunguje, měli byste zjistit, který modul se používá pro vaše porty USB. možná deaktivujete špatný.
Jednoznačně nejjednodušší způsob, nějakou dobu jsem sháněl a nenapadl mě ten, co jsem měl pod nosem. Děkuji mnohokrát
Rozhodně nejjednodušší způsob. Nějakou jsem nějakou dobu hledala a nemohla jsem si vzpomenout na tu, která mi ležela přímo pod nosem. Děkuji mnohokrát