Need, kes töötavad kasutajatega asutustes, mis nõuavad teatud piiranguid, kas turvalisuse taseme tagamiseks või mõne idee või korralduse abil "ülalt" (nagu me siin ütleme), peavad mitu korda rakendama arvutitele mõningaid juurdepääsupiiranguid, siin ma räägib konkreetselt USB-mäluseadmetele juurdepääsu piiramisest või kontrollimisest.
USB-i piiramine modprobe abil (minu jaoks ei töötanud)
See pole just uus tava, see seisneb mooduli usb_storage lisamises laaditavate tuumamoodulite musta nimekirja, see oleks:
echo usb_storage> $ HOME / must nimekiri sudo mv $ HOME / must nimekiri /etc/modprobe.d/
Siis taaskäivitame arvuti ja kõik.
Keela USB, eemaldades kerneli draiver (ei töötanud minu jaoks)
Teine võimalus oleks eemaldada USB-draiver kernelt, selleks täidame järgmise käsu:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
Taaskäivitame ja oleme valmis.
See teisaldab kerneli kasutatavaid USB-draivereid sisaldava faili teise kausta (/ root /).
Kui soovite selle muudatuse tagasi võtta, piisab sellest:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
Piirake juurdepääsu USB-seadmetele muutmisega / meedia / õigused (kui see minu jaoks töötas)
Siiani on see meetod, mis minu jaoks kindlasti töötab. Nagu peaksite teadma, on USB-seadmed paigaldatud saidile / media / o ... kui teie distro kasutab systemd-d, on need paigaldatud saidile / run / media /
Mida me teeme, on muuta õigused failile / media / (või / run / media /) nii, et AINULT juurkasutaja saaks selle sisule juurde pääseda, selleks piisab:
sudo chmod 700 /media/
või ... kui kasutate Archi või mõnda distro koos systemd-ga:
sudo chmod 700 /run/media/
Kui see on tehtud, ühendatakse ühenduses olevad USB-seadmed, kuid kasutajale ei kuvata ühtegi teadet ega pääse kaustale ega muule otse juurde.
Lõpp!
Netis on veel mõningaid võimalusi, näiteks Grubi kasutamine ... aga arvake ära, see ei töötanud ka minu jaoks 🙂
Postitan nii palju valikuid (kuigi kõik need minu jaoks ei töötanud), sest üks mu tuttav ostis digikaamera aadressil a veebipoe tehnoloogiatooted Tšiilis, meenus talle see stsenaarium spy-usb.sh et mõni aeg tagasi seletasin siinMäletan, et see aitab USB-seadmeid nuhkida ja nendelt teavet varastada) ja küsis minult, kas on kuidagi võimalik takistada tema uue kaamera teabe varastamist või vähemalt mõnda võimalust oma koduarvutis USB-seadmete blokeerimiseks.
Igatahes, kuigi see pole teie kaamera kaitse kõigi arvutite eest, kuhu saate selle ühendada, suudab see vähemalt kaitsta koduarvutit tundliku teabe eemaldamise eest USB-seadmete kaudu.
Loodan, et see on olnud (nagu alati) kasulik, kui keegi teab mõnda muud meetodit Linuxi juurdepääsu keelamiseks Linuxis ja loomulikult töötab see probleemideta, andke meile sellest teada.
Teine võimalik viis USB-mäluseadme paigaldamise vältimiseks võib olla udevi reeglite muutmine http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, muutes reeglit nii, et ainult root saaks ühendada usb_storage seadmeid, arvan, et see on "väljamõeldud" viis. Terviseks
Debiani vikis öeldakse, et mitte blokeerida mooduleid otse failis /etc/modprobe.d/blacklist (.conf), vaid iseseisvas, mis lõpeb .conf-ga: https://wiki.debian.org/KernelModuleBlacklisting . Ma ei tea, kas Archis on asi teistmoodi, kuid ilma, et oleksin seda arvutis USB-sid proovinud, töötab see näiteks kimalase ja tkpkr-iga.
Ja arvan, et Arch kasutab sama meetodit, eks? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
Ma arvan, et õiguste muutmisega oleks parem võimalus luua konkreetne grupp / meedia jaoks, näiteks "pendrive", määrata see rühm / media-le ja anda õigused 770, nii et saaksime kontrollida, kes saab kasutada seda, millele / media on paigaldatud lisades kasutaja gruppi «pendrive», loodan, et olete sellest aru saanud 🙂
Tere, KZKG ^ Gaara! Sel juhul saame kasutada policykiti, sellega saavutaksime, et USB-seadme sisestamisel palub süsteem meil enne selle paigaldamist kasutaja või juur autentida.
Mul on mõned märkused selle kohta, kuidas ma seda tegin, pühapäeva hommiku jooksul postitan selle.
Tervitused.
Dandole continuidad al mesaje sobre usar policykit y en vista de que de momento no he podido postear (supongo que debido a los cambios sucedidos en Desdelinux UsemosLinux) te dejo como hice para evitar que usuarios monten sus dispositivos USB. Esto bajo Debian 7.6 con Gnome 3.4.2
1.- Avage fail /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2.- Otsime jaotist «»
3.- Muudame järgmist:
"Ja see on"
poolt:
"Auth_admin"
Valmis !! see nõuab USB-seadme ühendamisel proovimist juurena.
Viited:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
Tervitused.
2. etapis ei saa ma aru, millises jaotises peate silmas "ma olen algaja".
Aitäh abi eest.
Teine meetod: lisage kerneli alglaadimise käsureale valik "nousb", mis hõlmab grubi või lilo konfiguratsioonifaili redigeerimist.
nousb - USB-alamsüsteemi keelamine.
Selle suvandi olemasolul USB-alamsüsteemi ei lähtestata.
Kuidas meeles pidada, et ainult juurkasutajal on USB-seadmete ühendamiseks õigused ja teistel kasutajatel mitte.
Aitäh.
Kuidas meeles pidada, et pakendivälised distrod (näiteks teie kasutatavad) ühendavad USB-seadmed, kas Unity, Gnome või KDE, automaatselt ... kas politseikiti või dbusi kasutades, kuna need paigaldab süsteem, mitte kasutaja.
Asjata 😉
Ja kui ma tahan tühistada
sudo chmod 700 / media /
Mida peaksin USB-le juurdepääsu taastamiseks terminali panema?
tänan
See ei toimi, kui ühendate mobiiltelefoni USB-kaabli abil.
uuesti lubamiseks sudo chmod 777 / media /.
Tervitused.
See pole teostatav. Nad peaksid USB ühendama ainult muusse kataloogi kui / media.
Kui USB-mooduli keelamine teie jaoks ei toimi, peaksite nägema, millist moodulit teie USB-porti kasutatakse. võib-olla keelate vale.
Kindlasti kõige lihtsam viis, olen mõnda aega otsinud ja ei suutnud välja mõelda, mis mu nina all oli. Tänan sind väga
Kindlasti kõige lihtsam viis. Olen mõnda aega otsinud ja ei suutnud välja mõelda, mis täpselt mu nina all oli. Tänan sind väga