Niiden, jotka työskentelevät käyttäjien kanssa laitoksissa, jotka vaativat tiettyjä rajoituksia joko tietoturvan takaamiseksi tai jonkin idean tai tilauksen "ylhäältä" (kuten sanomme täällä), on monta kertaa pantava täytäntöön joitain pääsyrajoituksia tietokoneille, tässä minä puhuu erityisesti USB-tallennuslaitteiden käytön rajoittamisesta tai valvonnasta.
Indeksi
Rajoita USB: tä modprobe-palvelimella (ei toiminut minulle)
Tämä ei ole aivan uusi käytäntö, vaan usb_storage-moduulin lisääminen ladattujen ytimen moduulien mustalle listalle, se olisi:
echo usb_storage> $ HOME / musta lista sudo mv $ HOME / musta lista /etc/modprobe.d/
Käynnistämme sitten tietokoneen uudelleen ja siinä kaikki.
Poista USB käytöstä poistamalla ytimen ohjain (ei toimi minulle)
Toinen vaihtoehto olisi poistaa USB-ohjain ytimestä, tätä varten suoritamme seuraavan komennon:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
Käynnistämme uudelleen ja olemme valmiita.
Tämä siirtää ytimen käyttämät USB-ohjaimet sisältävän tiedoston toiseen kansioon (/ root /).
Jos haluat kumota tämän muutoksen, riittää:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
Rajoita pääsyä USB-laitteisiin muuttamalla / media / -käyttöoikeuksia (jos se toimi minulle)
Toistaiseksi tämä on menetelmä, joka varmasti toimii minulle. Kuten sinun pitäisi tietää, USB-laitteet on asennettu tiedostoon / media / o ... jos distroosi käyttää systemd: tä, ne on asennettu / run / media /
Teemme vain muuttamalla käyttöoikeudet tiedostoon / media / (tai / run / media /) niin, että VAIN pääkäyttäjä voi käyttää sen sisältöä, tähän riittää:
sudo chmod 700 /media/
tai ... jos käytät Archia tai mitä tahansa distroa systemd: n kanssa:
sudo chmod 700 /run/media/
Kun tämä on tehty, USB-laitteet asennetaan, kun ne on yhdistetty, mutta käyttäjälle ei tule ilmoitusta, eivätkä he pääse suoraan kansioon tai mihinkään.
Loppu!
Netissä on joitain muita tapoja selittää, esimerkiksi Grubin käyttö ... mutta arvaa mitä, se ei toiminut minulle myöskään 🙂
Lähetän niin monia vaihtoehtoja (vaikka kaikki eivät toimineet minulle), koska tuttavani osti digitaalikameran osoitteesta verkkokaupan teknologiatuotteet Chilessä, muisti kyseisen käsikirjoituksen spy-usb.sh että vähän aikaa sitten selitin täälläMuistan, että se vakoilee USB-laitteita ja varastaa tietoja näistä) ja kysyi minulta, voiko millään tavalla estää tietojen varastamisen hänen uudesta kamerastaan vai ainakin jonkin vaihtoehdon estää USB-laitteet hänen kotitietokoneellaan.
Joka tapauksessa, vaikka tämä ei ole suoja kamerallesi kaikkia tietokoneita vastaan, joihin voit liittää sen, ainakin se pystyy suojaamaan koti-PC: tä arkaluontoisten tietojen poistolta USB-laitteiden kautta.
Toivon, että siitä on ollut (kuten aina) hyötyä sinulle, jos joku tietää minkä tahansa muun menetelmän kieltää USB: n käyttö Linuxissa ja tietysti se toimii ongelmitta, ilmoita siitä meille.
16 kommenttia, jätä omasi
Toinen mahdollinen tapa välttää USB-tallennustilan asentaminen voi olla udevin sääntöjen muuttaminen http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, muokkaamalla sääntöä siten, että vain root voi liittää usb_storage -laitteita, mielestäni se on "hienoa" tapaa. Kippis
Debianin wikissä he sanovat, ettei moduuleja saa estää suoraan tiedostossa /etc/modprobe.d/blacklist (.conf), mutta riippumattomassa tiedostossa, joka päättyy .conf: iin: https://wiki.debian.org/KernelModuleBlacklisting . En tiedä onko asia erilainen Archissa, mutta kokeilematta sitä tietokoneellani USB: llä se toimii näin esimerkiksi kimalaisen ja kplpkr: n kanssa.
Ja mielestäni Arch käyttää samaa menetelmää, eikö? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
Mielestäni parempi vaihtoehto muuttamalla käyttöoikeuksia olisi luoda tietty ryhmä mediaa varten, esimerkiksi "pendrive", määrittää ryhmä ryhmälle / media ja antaa käyttöoikeudet 770, jotta voimme hallita, kuka voi käyttää mitä on kiinnitetty / media lisäämällä käyttäjän ryhmään «pendrive», toivon, että olet ymmärtänyt 🙂
Hei, KZKG ^ Gaara, tässä tapauksessa voimme käyttää policykit-sovellusta. Tällä tavoin saavutamme, että kun asetat USB-laitteen, järjestelmä pyytää meitä todentamaan käyttäjän tai juuren ennen sen asentamista.
Minulla on joitain muistiinpanoja siitä, miten tein sen, huomenna sunnuntain aikana lähetän sen.
Tervehdys.
Antaessani jatkuvuutta poliisin käyttämistä koskevalle sanomalle ja ottaen huomioon, että en ole tällä hetkellä pystynyt lähettämään viestiä (luulen, että Desdelinux UsemosLinuxissa tapahtuneiden muutosten vuoksi), jätän sinut samoin kuin estin käyttäjiä asentamasta heidän USB-laitteitaan. Tämä Debian 7.6: n ja Gnome 3.4.2: n alla
1.- Avaa tiedosto /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2.- Etsimme osiota «»
3.- Muutamme seuraavaa:
"Ja se on"
by:
"Auth_admin"
Valmis!! tämä edellyttää, että todennat pääkäyttäjänä yrittäessäsi asentaa USB-laitetta.
viitteet:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
Tervehdys.
Vaiheessa 2 en ymmärrä mitä osaa tarkoitat "olen aloittelija".
Kiitos avusta.
Toinen menetelmä: lisää "nousb" -vaihtoehto ytimen käynnistyskomentoriville, joka sisältää grub- tai lilo-määritystiedoston muokkaamisen.
nousb - Poista USB-alijärjestelmä käytöstä.
Jos tämä vaihtoehto on käytettävissä, USB-alijärjestelmää ei alusteta.
Kuinka pitää mielessä, että vain pääkäyttäjällä on käyttöoikeudet USB-laitteiden liittämiseen ja muilla käyttäjillä ei.
Kiitos.
Kuinka pitää mielessä, että käyttövalmiit distrot (kuten käyttämäsi) kiinnittävät automaattisesti USB-laitteet, joko Unityn, Gnomen tai KDE: n joko policykit- tai dbus-toiminnolla, koska järjestelmä kiinnittää ne, ei käyttäjä.
Ei mitään 😉
Ja jos haluan peruuttaa
sudo chmod 700 / media /
Mitä minun pitäisi laittaa päätelaitteeseen, jotta voin saada takaisin USB-yhteyden?
kiitos
Se ei toimi, jos liität matkapuhelimesi USB-kaapelilla.
sudo chmod 777 / media / ottaa uudelleen käyttöön.
Tervehdys.
Tämä ei ole mahdollista. Niiden tulisi asentaa USB vain muuhun hakemistoon kuin / media.
Jos USB -moduulin poistaminen käytöstä ei toimi, sinun pitäisi nähdä, mitä moduulia käytetään USB -portteihisi. ehkä poistat käytöstä väärän.
Ehdottomasti helpoin tapa, olen etsinyt sellaista jo jonkin aikaa, enkä voinut ajatella sitä, joka oli nenäni alla. Kiitos paljon
Ehdottomasti helpoin tapa. Olen etsinyt sellaista jonkin aikaa, enkä voinut ajatella sitä, joka oli nenäni alla. Kiitos paljon