Begræns brugen af ​​USB-enheder i Linux

De, der arbejder med brugere i institutioner, der kræver visse begrænsninger, enten for at garantere et sikkerhedsniveau eller ved en eller anden idé eller ordre "ovenfra" (som vi siger her), har ofte brug for at implementere nogle adgangsbegrænsninger på computere her Jeg vil tale specifikt om at begrænse eller kontrollere adgangen til USB-lagerenheder.

Begræns USB ved hjælp af modprobe (fungerede ikke for mig)

Dette er ikke ligefrem en ny praksis, det består i at tilføje usb_storage-modulet til den sorte liste over kernemodulerne, der er indlæst, det ville være:

ekko usb_storage> $ HJEM / sortliste sudo mv $ HJEM / sortliste /etc/modprobe.d/

Derefter genstarter vi computeren, og det er det.

Præciser, at selvom alle deler dette alternativ som den mest effektive løsning, fungerede det ikke i min Arch for mig

Deaktiver USB ved at fjerne kernedriveren (fungerede ikke for mig)

En anden mulighed ville være at fjerne USB-driveren fra kernen, for dette udfører vi følgende kommando:

sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/

Vi genstarter og er klar.

Dette vil være, at filen, der indeholder USB-drivere, der bruges af kernen, flytter den til en anden mappe (/ root /).

Hvis du vil fortryde denne ændring, er det nok med:

sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/

Denne måde fungerede heller ikke for mig, af en eller anden grund fortsatte USB'erne med at arbejde for mig.

Begrænsning af adgang til USB-enheder ved at ændre / medier / tilladelser (HVIS det fungerede for mig)

Dette er indtil videre den metode, der helt sikkert fungerer for mig. Som du burde vide, er USB-enheder monteret på / media / o ... hvis din distro bruger systemd, er de monteret på / run / media /

Hvad vi vil gøre er at ændre tilladelserne til / media / (eller / run / media /), så KUN rodbrugeren kan få adgang til sit indhold, for dette er det tilstrækkeligt:

sudo chmod 700 /media/

eller ... hvis du bruger Arch eller en hvilken som helst distro med systemd:

sudo chmod 700 /run/media/

Selvfølgelig skal de tage højde for, at kun rodbrugeren har tilladelse til at montere USB-enheder, for da kunne brugeren montere USB i en anden mappe og omgå vores begrænsning.

Når dette er gjort, monteres USB-enhederne, når de er tilsluttet, men der vises ingen meddelelser for brugeren, og de vil heller ikke kunne få direkte adgang til mappen eller noget andet.

Slutningen!

Der er nogle andre måder, der forklares på nettet, for eksempel ved hjælp af Grub ... men gæt hvad, det fungerede heller ikke for mig 🙂

Jeg sender så mange muligheder (selvom ikke alle fungerede for mig), fordi en af ​​mine kendte købte et digitalt kamera på en online butik teknologiske produkter i Chile, huskede han det manuskript spy-usb.sh det forklarede jeg her for et stykke tid sidenJeg husker, det tjener til at spionere på USB-enheder og stjæle oplysninger fra disse) og spurgte mig, om der var nogen måde at forhindre, at oplysninger blev stjålet fra hans nye kamera, eller i det mindste en mulighed for at blokere USB-enheder på hans hjemmecomputer.

Under alle omstændigheder, selvom dette ikke er en beskyttelse for dit kamera mod alle de computere, hvor du kan tilslutte det, vil det i det mindste være i stand til at beskytte hjemmepc'en mod fjernelse af følsomme oplysninger via USB-enheder.

Jeg håber, det har været (som altid) nyttigt, hvis nogen kender nogen anden metode til at nægte adgang til USB i Linux, og det fungerer selvfølgelig uden problemer, så lad os det vide.


16 kommentarer, lad dine

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

  1.   snkisuke sagde han

    En anden mulig måde at forhindre montering af et USB-lager på kan være ved at ændre reglerne i udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, ved at ændre reglen, så kun root kan montere usb_storage-enheder, tror jeg, det vil være en "fancy" måde. Skål

  2.   otakulogan sagde han

    I Debian-wiki siger de ikke at blokere moduler direkte i /etc/modprobe.d/blacklist (.conf) -filen, men i en uafhængig, der ender med .conf: https://wiki.debian.org/KernelModuleBlacklisting . Jeg ved ikke, om ting er anderledes i Arch, men uden at have prøvet det på USB'er på min computer, fungerer det sådan med for eksempel humlebi og pcspkr.

    1.    otakulogan sagde han

      Og jeg tror, ​​at Arch bruger den samme metode, ikke? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .

  3.   rudamacho sagde han

    Jeg tror, ​​at en bedre mulighed ved at ændre tilladelser ville være at oprette en bestemt gruppe til / media, for eksempel "pendrive", tildele den gruppe til / media og give tilladelser 770, så vi kunne styre, hvem der kan bruge det, der er monteret på / media ved at tilføje brugeren til gruppe «pendrive», jeg håber du har forstået 🙂

  4.   iskalotl sagde han

    Hej, KZKG ^ Gaara, i dette tilfælde kan vi bruge policykit, med dette ville vi opnå, at når vi indsætter en USB-enhed, beder systemet os om at godkende som bruger eller root, inden det monteres.
    Jeg har nogle noter om, hvordan jeg gjorde det, i løbet af søndag morgen postede jeg det.

    Greetings.

  5.   iskalotl sagde han

    Dandole continuidad al mesaje sobre usar policykit y en vista de que de momento no he podido postear (supongo que debido a los cambios sucedidos en Desdelinux UsemosLinux) te dejo como hice para evitar que usuarios monten sus dispositivos USB. Esto bajo Debian 7.6 con Gnome 3.4.2

    1. - Åbn filen /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
    2.- Vi ser efter afsnittet «»
    3.- Vi ændrer følgende:

    "Og det er"

    ved:

    "Auth_admin"

    Parat!! dette kræver, at du godkender som root, når du prøver at montere en USB-enhed.

    referencer:
    http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
    http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
    http://lwn.net/Articles/258592/

    Greetings.

    1.    raidel celma sagde han

      I trin 2 forstår jeg ikke, hvilket afsnit du mener "Jeg er nybegynder."

      Tak for hjælpen.

  6.   dette navn er falsk sagde han

    En anden metode: tilføj "nousb" -indstillingen til kernel boot-kommandolinjen, som involverer redigering af grub- eller lilo-konfigurationsfilen.

    nousb - Deaktiver USB-undersystemet.
    Hvis denne indstilling er til stede, initialiseres USB-undersystemet ikke.

  7.   raidel celma sagde han

    Sådan skal du huske på, at kun rodbrugeren har tilladelse til at montere USB-enheder, og de andre brugere ikke har.

    Tak.

    1.    KZKG ^ Gaara sagde han

      Sådan husker du, at distroer uden for kassen (som den du bruger) automatisk monterer USB-enheder, enten Unity, Gnome eller KDE ... enten ved hjælp af policykit eller dbus, fordi det er systemet, der monterer dem, ikke brugeren.

      For ingenting 😉

  8.   Victor sagde han

    Og hvis jeg vil annullere effekten af
    sudo chmod 700 / medier /

    Hvad skal jeg lægge i terminalen for at få adgang til USB igen?

    tak

  9.   Anonymous sagde han

    Det fungerer ikke, hvis du tilslutter din mobil med et USB-kabel.

  10.   ruyzz sagde han

    sudo chmod 777 / media / for at genaktivere.

    Greetings.

  11.   Maurel reyes sagde han

    Dette er ikke muligt. De bør kun montere USB'en i en anden mappe end / media.

    Hvis deaktivering af USB -modulet ikke virker for dig, skal du se, hvilket modul der bruges til dine USB -porte. måske deaktiverer du den forkerte.

  12.   John Ferrer sagde han

    Absolut den nemmeste måde, jeg har ledt efter en i et stykke tid, og jeg kunne ikke komme i tanke om den, der var under min næse. Mange tak

  13.   John Ferrer sagde han

    Helt klart den nemmeste måde. Jeg har ledt efter en i et stykke tid, og jeg kunne ikke komme i tanke om den, der var lige under min næse. Mange tak