Ceux qui travaillent avec des utilisateurs dans des institutions qui nécessitent certaines restrictions, soit pour garantir un niveau de sécurité, soit par une idée ou un ordre "d'en haut" (comme nous le disons ici), doivent souvent mettre en place des restrictions d'accès sur les ordinateurs, ici Je parlerai spécifiquement de la restriction ou du contrôle de l'accès aux périphériques de stockage USB.
Restreindre USB à l'aide de modprobe (n'a pas fonctionné pour moi)
Ce n'est pas exactement une nouvelle pratique, cela consiste à ajouter le module usb_storage à la liste noire des modules du noyau qui sont chargés, ce serait:
echo usb_storage> $ HOME / liste noire sudo mv $ HOME / liste noire /etc/modprobe.d/
Ensuite, nous redémarrons l'ordinateur et c'est tout.
Désactivez l'USB en supprimant le pilote du noyau (n'a pas fonctionné pour moi)
Une autre option serait de supprimer le pilote USB du noyau, pour cela, nous exécutons la commande suivante:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
Nous redémarrons et prêts.
Cela déplacera le fichier contenant les pilotes USB utilisés par le noyau vers un autre dossier (/ root /).
Si vous souhaitez annuler ce changement, il suffira de:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
Restreindre l'accès aux périphériques USB en modifiant / media / permissions (SI cela a fonctionné pour moi)
C'est jusqu'à présent la méthode qui fonctionne certainement pour moi. Comme vous devez le savoir, les périphériques USB sont montés sur / media / o ... si votre distribution utilise systemd, ils sont montés sur / run / media /
Ce que nous allons faire est de changer les permissions en / media / (ou / run / media /) afin que SEUL l'utilisateur root puisse accéder à son contenu, pour cela, cela suffira:
sudo chmod 700 /media/
ou ... si vous utilisez Arch ou n'importe quelle distribution avec systemd:
sudo chmod 700 /run/media/
Une fois que cela est fait, les périphériques USB connectés seront montés, mais aucune notification n'apparaîtra à l'utilisateur, ni ne pourra accéder directement au dossier ou à quoi que ce soit.
La fin!
Il y a d'autres moyens expliqués sur le net, par exemple en utilisant Grub ... mais, devinez quoi, cela n'a pas fonctionné pour moi non plus 🙂
Je poste tellement d'options (même si toutes n'ont pas fonctionné pour moi) parce qu'une de mes connaissances a acheté un appareil photo numérique dans un produits de technologie de magasin en ligne au Chili, il s'est souvenu de ce script espion-usb.sh qu'il y a quelque temps j'ai expliqué iciJe me souviens, il sert à espionner les périphériques USB et à voler des informations sur ceux-ci) et m'a demandé s'il y avait un moyen d'empêcher le vol d'informations sur son nouvel appareil photo, ou au moins une option pour bloquer les périphériques USB sur son ordinateur personnel.
Quoi qu'il en soit, bien que ce ne soit pas une protection pour votre appareil photo contre tous les ordinateurs sur lesquels vous pouvez le connecter, au moins il sera en mesure de protéger le PC domestique de la suppression d'informations sensibles via des périphériques USB.
J'espère que cela a été (comme toujours) utile, si quelqu'un connaît une autre méthode pour refuser l'accès à l'USB sous Linux et bien sûr, cela fonctionne sans problème, faites-le nous savoir.
Un autre moyen d'empêcher le montage d'un stockage USB pourrait être de changer les règles dans udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, en modifiant la règle pour que seul root puisse monter des périphériques usb_storage, je pense que ce sera une manière "sophistiquée". À votre santé
Dans le wiki Debian, ils disent de ne pas bloquer les modules directement dans le fichier /etc/modprobe.d/blacklist (.conf), mais dans un fichier indépendant qui se termine par .conf: https://wiki.debian.org/KernelModuleBlacklisting . Je ne sais pas si les choses sont différentes dans Arch, mais sans l'avoir essayé sur des clés USB sur mon ordinateur, cela fonctionne comme ça avec, par exemple, bumblebee et pcspkr.
Et je pense qu'Arch utilise la même méthode, non? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
Je pense qu'une meilleure option en modifiant les autorisations serait de créer un groupe spécifique pour / media, par exemple "clé USB", d'assigner ce groupe à / media et d'accorder des autorisations 770, afin que nous puissions contrôler qui peut utiliser ce qui est monté sur / media en ajoutant l'utilisateur au groupe «clé USB», j'espère que vous avez compris 🙂
Bonjour, KZKG ^ Gaara, pour ce cas, nous pouvons utiliser policykit, avec cela, nous obtiendrions que lors de l'insertion d'un périphérique USB, le système nous demande de nous authentifier en tant qu'utilisateur ou root avant de le monter.
J'ai quelques notes sur la façon dont je l'ai fait, au cours du dimanche matin je le poste.
Salutations.
Pour donner une continuité au message sur l'utilisation de PolicyKit et étant donné que pour le moment je n'ai pas pu poster (je suppose qu'en raison des changements survenus dans Desdelinux Utilisons Linux) Je vous laisse comment j'ai fait pour empêcher les utilisateurs de monter leurs périphériques USB. Ceci sous Debian 7.6 avec Gnome 3.4.2
1.- Ouvrez le fichier /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2.- Nous cherchons la section «»
3.- Nous modifions ce qui suit:
"Et c'est"
par:
"Auth_admin"
Prêt!! cela vous obligera à vous authentifier en tant que root lorsque vous essayez de monter un périphérique USB.
références:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
Salutations.
À l'étape 2, je ne comprends pas de quelle section vous voulez dire «Je suis un débutant».
merci pour l'aide.
Autre méthode: ajoutez l'option "nousb" à la ligne de commande de démarrage du noyau, ce qui implique l'édition du fichier de configuration grub ou lilo.
nousb - Désactive le sous-système USB.
Si cette option est présente, le sous-système USB ne sera pas initialisé.
Comment garder à l'esprit que seul l'utilisateur root a l'autorisation de monter des périphériques USB et que les autres utilisateurs n'en ont pas.
Merci.
Comment garder à l'esprit que les distributions prêtes à l'emploi (comme celle que vous utilisez) montent automatiquement les périphériques USB, que ce soit Unity, Gnome ou KDE ... soit en utilisant policykit ou dbus, car c'est le système qui les monte, pas l'utilisateur.
Pour rien 😉
Et si je veux annuler l'effet de
sudo chmod 700 / média /
Que dois-je mettre dans le terminal pour retrouver l'accès à l'USB?
merci
Cela ne fonctionne pas si vous connectez votre mobile avec un câble USB.
sudo chmod 777 / media / pour le réactiver.
Salutations.
Ce n'est pas faisable. Ils ne doivent monter l'USB que dans un répertoire autre que / media.
Si la désactivation du module USB ne fonctionne pas pour vous, vous devriez voir quel module est utilisé pour vos ports USB. peut-être que vous désactivez le mauvais.
Certainement le moyen le plus simple, j'en cherchais un depuis un moment et je ne pouvais pas penser à celui qui était sous mon nez. Merci beaucoup
Certainement le moyen le plus simple. J'en cherchais un depuis un moment et je ne pouvais pas penser à celui qui était juste sous mon nez. Merci beaucoup