Rajoita USB-laitteiden käyttöä Linuxissa

Niiden, jotka työskentelevät käyttäjien kanssa laitoksissa, jotka vaativat tiettyjä rajoituksia joko tietoturvan takaamiseksi tai jonkin idean tai tilauksen "ylhäältä" (kuten sanomme täällä), on monta kertaa pantava täytäntöön joitain pääsyrajoituksia tietokoneille, tässä minä puhuu erityisesti USB-tallennuslaitteiden käytön rajoittamisesta tai valvonnasta.

Rajoita USB: tä modprobe-palvelimella (ei toiminut minulle)

Tämä ei ole aivan uusi käytäntö, vaan usb_storage-moduulin lisääminen ladattujen ytimen moduulien mustalle listalle, se olisi:

echo usb_storage> $ HOME / musta lista sudo mv $ HOME / musta lista /etc/modprobe.d/

Käynnistämme sitten tietokoneen uudelleen ja siinä kaikki.

Selvitä, että vaikka kaikki jakavat tämän vaihtoehdon tehokkaimpana ratkaisuna, Archissani se ei toiminut minulle

Poista USB käytöstä poistamalla ytimen ohjain (ei toimi minulle)

Toinen vaihtoehto olisi poistaa USB-ohjain ytimestä, tätä varten suoritamme seuraavan komennon:

sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/

Käynnistämme uudelleen ja olemme valmiita.

Tämä siirtää ytimen käyttämät USB-ohjaimet sisältävän tiedoston toiseen kansioon (/ root /).

Jos haluat kumota tämän muutoksen, riittää:

sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/

Tämä tapa ei toiminut myöskään minulle, jostain syystä USB: t työskentelivät minulle.

Rajoita pääsyä USB-laitteisiin muuttamalla / media / -käyttöoikeuksia (jos se toimi minulle)

Toistaiseksi tämä on menetelmä, joka varmasti toimii minulle. Kuten sinun pitäisi tietää, USB-laitteet on asennettu tiedostoon / media / o ... jos distroosi käyttää systemd: tä, ne on asennettu / run / media /

Teemme vain muuttamalla käyttöoikeudet tiedostoon / media / (tai / run / media /) niin, että VAIN pääkäyttäjä voi käyttää sen sisältöä, tähän riittää:

sudo chmod 700 /media/

tai ... jos käytät Archia tai mitä tahansa distroa systemd: n kanssa:

sudo chmod 700 /run/media/

Heidän on tietysti otettava huomioon, että vain pääkäyttäjällä on käyttöoikeudet USB-laitteiden liittämiseen, koska silloin käyttäjä voi liittää USB: n toiseen kansioon ja kiertää rajoituksiamme.

Kun tämä on tehty, USB-laitteet asennetaan, kun ne on yhdistetty, mutta käyttäjälle ei tule ilmoitusta, eivätkä he pääse suoraan kansioon tai mihinkään.

Loppu!

Netissä on joitain muita tapoja selittää, esimerkiksi Grubin käyttö ... mutta arvaa mitä, se ei toiminut minulle myöskään 🙂

Lähetän niin monia vaihtoehtoja (vaikka kaikki eivät toimineet minulle), koska tuttavani osti digitaalikameran osoitteesta verkkokaupan teknologiatuotteet Chilessä, muisti kyseisen käsikirjoituksen spy-usb.sh että vähän aikaa sitten selitin täälläMuistan, että se vakoilee USB-laitteita ja varastaa tietoja näistä) ja kysyi minulta, voiko millään tavalla estää tietojen varastamisen hänen uudesta kamerastaan ​​vai ainakin jonkin vaihtoehdon estää USB-laitteet hänen kotitietokoneellaan.

Joka tapauksessa, vaikka tämä ei ole suoja kamerallesi kaikkia tietokoneita vastaan, joihin voit liittää sen, ainakin se pystyy suojaamaan koti-PC: tä arkaluontoisten tietojen poistolta USB-laitteiden kautta.

Toivon, että siitä on ollut (kuten aina) hyötyä sinulle, jos joku tietää minkä tahansa muun menetelmän kieltää USB: n käyttö Linuxissa ja tietysti se toimii ongelmitta, ilmoita siitä meille.


16 kommenttia, jätä omasi

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   snkisuke dijo

    Toinen mahdollinen tapa välttää USB-tallennustilan asentaminen voi olla udevin sääntöjen muuttaminen http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, muokkaamalla sääntöä siten, että vain root voi liittää usb_storage -laitteita, mielestäni se on "hienoa" tapaa. Kippis

  2.   otakulogan dijo

    Debianin wikissä he sanovat, ettei moduuleja saa estää suoraan tiedostossa /etc/modprobe.d/blacklist (.conf), mutta riippumattomassa tiedostossa, joka päättyy .conf: iin: https://wiki.debian.org/KernelModuleBlacklisting . En tiedä onko asia erilainen Archissa, mutta kokeilematta sitä tietokoneellani USB: llä se toimii näin esimerkiksi kimalaisen ja kplpkr: n kanssa.

    1.    otakulogan dijo

      Ja mielestäni Arch käyttää samaa menetelmää, eikö? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .

  3.   rudamacho dijo

    Mielestäni parempi vaihtoehto muuttamalla käyttöoikeuksia olisi luoda tietty ryhmä mediaa varten, esimerkiksi "pendrive", määrittää ryhmä ryhmälle / media ja antaa käyttöoikeudet 770, jotta voimme hallita, kuka voi käyttää mitä on kiinnitetty / media lisäämällä käyttäjän ryhmään «pendrive», toivon, että olet ymmärtänyt 🙂

  4.   iskalotl dijo

    Hei, KZKG ^ Gaara, tässä tapauksessa voimme käyttää policykit-sovellusta. Tällä tavoin saavutamme, että kun asetat USB-laitteen, järjestelmä pyytää meitä todentamaan käyttäjän tai juuren ennen sen asentamista.
    Minulla on joitain muistiinpanoja siitä, miten tein sen, huomenna sunnuntain aikana lähetän sen.

    Tervehdys.

  5.   iskalotl dijo

    Dandole continuidad al mesaje sobre usar policykit y en vista de que de momento no he podido postear (supongo que debido a los cambios sucedidos en Desdelinux UsemosLinux) te dejo como hice para evitar que usuarios monten sus dispositivos USB. Esto bajo Debian 7.6 con Gnome 3.4.2

    1.- Avaa tiedosto /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
    2.- Etsimme osiota «»
    3.- Muutamme seuraavaa:

    "Ja se on"

    by:

    "Auth_admin"

    Valmis!! tämä edellyttää, että todennat pääkäyttäjänä yrittäessäsi asentaa USB-laitetta.

    viitteet:
    http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
    http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
    http://lwn.net/Articles/258592/

    Tervehdys.

    1.    Raidel Celma dijo

      Vaiheessa 2 en ymmärrä mitä osaa tarkoitat "olen aloittelija".

      Kiitos avusta.

  6.   tämä nimi on väärä dijo

    Toinen menetelmä: lisää "nousb" -vaihtoehto ytimen käynnistyskomentoriville, joka sisältää grub- tai lilo-määritystiedoston muokkaamisen.

    nousb - Poista USB-alijärjestelmä käytöstä.
    Jos tämä vaihtoehto on käytettävissä, USB-alijärjestelmää ei alusteta.

  7.   Raidel Celma dijo

    Kuinka pitää mielessä, että vain pääkäyttäjällä on käyttöoikeudet USB-laitteiden liittämiseen ja muilla käyttäjillä ei.

    Kiitos.

    1.    KZKG ^ Gaara dijo

      Kuinka pitää mielessä, että käyttövalmiit distrot (kuten käyttämäsi) kiinnittävät automaattisesti USB-laitteet, joko Unityn, Gnomen tai KDE: n joko policykit- tai dbus-toiminnolla, koska järjestelmä kiinnittää ne, ei käyttäjä.

      Ei mitään 😉

  8.   voittaja dijo

    Ja jos haluan peruuttaa
    sudo chmod 700 / media /

    Mitä minun pitäisi laittaa päätelaitteeseen, jotta voin saada takaisin USB-yhteyden?

    kiitos

  9.   anonyymi dijo

    Se ei toimi, jos liität matkapuhelimesi USB-kaapelilla.

  10.   ruyzz dijo

    sudo chmod 777 / media / ottaa uudelleen käyttöön.

    Tervehdys.

  11.   Maurel reyes dijo

    Tämä ei ole mahdollista. Niiden tulisi asentaa USB vain muuhun hakemistoon kuin / media.

    Jos USB -moduulin poistaminen käytöstä ei toimi, sinun pitäisi nähdä, mitä moduulia käytetään USB -portteihisi. ehkä poistat käytöstä väärän.

  12.   John Ferrer dijo

    Ehdottomasti helpoin tapa, olen etsinyt sellaista jo jonkin aikaa, enkä voinut ajatella sitä, joka oli nenäni alla. Kiitos paljon

  13.   John Ferrer dijo

    Ehdottomasti helpoin tapa. Olen etsinyt sellaista jonkin aikaa, enkä voinut ajatella sitä, joka oli nenäni alla. Kiitos paljon