Restreindre l'utilisation des périphériques USB sous Linux

Alejandro (a.k.a KZKG^Gaara)

Minutes 3

Ceux qui travaillent avec des utilisateurs dans des institutions qui nécessitent certaines restrictions, soit pour garantir un niveau de sécurité, soit par une idée ou un ordre "d'en haut" (comme nous le disons ici), doivent souvent mettre en place des restrictions d'accès sur les ordinateurs, ici Je parlerai spécifiquement de la restriction ou du contrôle de l'accès aux périphériques de stockage USB.

Restreindre USB à l'aide de modprobe (n'a pas fonctionné pour moi)

Ce n'est pas exactement une nouvelle pratique, cela consiste à ajouter le module usb_storage à la liste noire des modules du noyau qui sont chargés, ce serait:

echo usb_storage> $ HOME / liste noire sudo mv $ HOME / liste noire /etc/modprobe.d/

Ensuite, nous redémarrons l'ordinateur et c'est tout.

Précisez que bien que tout le monde partage cette alternative comme la solution la plus efficace, dans mon Arch, cela n'a pas fonctionné pour moi

Désactivez l'USB en supprimant le pilote du noyau (n'a pas fonctionné pour moi)

Une autre option serait de supprimer le pilote USB du noyau, pour cela, nous exécutons la commande suivante:

sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/

Nous redémarrons et prêts.

Cela déplacera le fichier contenant les pilotes USB utilisés par le noyau vers un autre dossier (/ root /).

Si vous souhaitez annuler ce changement, il suffira de:

sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/

Cette méthode n'a pas fonctionné pour moi non plus, pour une raison quelconque, les clés USB ont continué à fonctionner pour moi.

Restreindre l'accès aux périphériques USB en modifiant / media / permissions (SI cela a fonctionné pour moi)

C'est jusqu'à présent la méthode qui fonctionne certainement pour moi. Comme vous devez le savoir, les périphériques USB sont montés sur / media / o ... si votre distribution utilise systemd, ils sont montés sur / run / media /

Ce que nous allons faire est de changer les permissions en / media / (ou / run / media /) afin que SEUL l'utilisateur root puisse accéder à son contenu, pour cela, cela suffira:

sudo chmod 700 /media/

ou ... si vous utilisez Arch ou n'importe quelle distribution avec systemd:

sudo chmod 700 /run/media/

Bien sûr, ils doivent prendre en compte que seul l'utilisateur root a les autorisations pour monter des périphériques USB, car alors l'utilisateur pourrait monter l'USB dans un autre dossier et contourner notre restriction.

Une fois que cela est fait, les périphériques USB connectés seront montés, mais aucune notification n'apparaîtra à l'utilisateur, ni ne pourra accéder directement au dossier ou à quoi que ce soit.

La fin!

Il y a d'autres moyens expliqués sur le net, par exemple en utilisant Grub ... mais, devinez quoi, cela n'a pas fonctionné pour moi non plus 🙂

Je poste tellement d'options (même si toutes n'ont pas fonctionné pour moi) parce qu'une de mes connaissances a acheté un appareil photo numérique dans un produits de technologie de magasin en ligne au Chili, il s'est souvenu de ce script espion-usb.sh qu'il y a quelque temps j'ai expliqué iciJe me souviens, il sert à espionner les périphériques USB et à voler des informations sur ceux-ci) et m'a demandé s'il y avait un moyen d'empêcher le vol d'informations sur son nouvel appareil photo, ou au moins une option pour bloquer les périphériques USB sur son ordinateur personnel.

Quoi qu'il en soit, bien que ce ne soit pas une protection pour votre appareil photo contre tous les ordinateurs sur lesquels vous pouvez le connecter, au moins il sera en mesure de protéger le PC domestique de la suppression d'informations sensibles via des périphériques USB.

J'espère que cela a été (comme toujours) utile, si quelqu'un connaît une autre méthode pour refuser l'accès à l'USB sous Linux et bien sûr, cela fonctionne sans problème, faites-le nous savoir.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   snkisuke dit
    il ya 10 ans.

    Un autre moyen d'empêcher le montage d'un stockage USB pourrait être de changer les règles dans udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, en modifiant la règle pour que seul root puisse monter des périphériques usb_storage, je pense que ce sera une manière "sophistiquée". À votre santé

    Répondre à SnKisuke
  2.   otakulogan dit
    il ya 10 ans.

    Dans le wiki Debian, ils disent de ne pas bloquer les modules directement dans le fichier /etc/modprobe.d/blacklist (.conf), mais dans un fichier indépendant qui se termine par .conf: https://wiki.debian.org/KernelModuleBlacklisting . Je ne sais pas si les choses sont différentes dans Arch, mais sans l'avoir essayé sur des clés USB sur mon ordinateur, cela fonctionne comme ça avec, par exemple, bumblebee et pcspkr.

    Répondre à OtakuLogan
    1.    otakulogan dit
      il ya 10 ans.

      Et je pense qu'Arch utilise la même méthode, non? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .

      Répondre à OtakuLogan
  3.   Rudamacho dit
    il ya 10 ans.

    Je pense qu'une meilleure option en modifiant les autorisations serait de créer un groupe spécifique pour / media, par exemple "clé USB", d'assigner ce groupe à / media et d'accorder des autorisations 770, afin que nous puissions contrôler qui peut utiliser ce qui est monté sur / media en ajoutant l'utilisateur au groupe «clé USB», j'espère que vous avez compris 🙂

    Répondre à rudamacho
  4.   iskalotl dit
    il ya 10 ans.

    Bonjour, KZKG ^ Gaara, pour ce cas, nous pouvons utiliser policykit, avec cela, nous obtiendrions que lors de l'insertion d'un périphérique USB, le système nous demande de nous authentifier en tant qu'utilisateur ou root avant de le monter.
    J'ai quelques notes sur la façon dont je l'ai fait, au cours du dimanche matin je le poste.

    Salutations.

    Répondre à izkalotl
  5.   iskalotl dit
    il ya 10 ans.

    Pour donner une continuité au message sur l'utilisation de PolicyKit et étant donné que pour le moment je n'ai pas pu poster (je suppose qu'en raison des changements survenus dans Desdelinux Utilisons Linux) Je vous laisse comment j'ai fait pour empêcher les utilisateurs de monter leurs périphériques USB. Ceci sous Debian 7.6 avec Gnome 3.4.2

    1.- Ouvrez le fichier /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
    2.- Nous cherchons la section «»
    3.- Nous modifions ce qui suit:

    "Et c'est"

    par:

    "Auth_admin"

    Prêt!! cela vous obligera à vous authentifier en tant que root lorsque vous essayez de monter un périphérique USB.

    références:
    http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
    http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
    http://lwn.net/Articles/258592/

    Salutations.

    Répondre à izkalotl
    1.    Raidel Celma dit
      il ya 10 ans.

      À l'étape 2, je ne comprends pas de quelle section vous voulez dire «Je suis un débutant».

      merci pour l'aide.

      Répondre à Raidel celma
  6.   ce nom est faux dit
    il ya 10 ans.

    Autre méthode: ajoutez l'option "nousb" à la ligne de commande de démarrage du noyau, ce qui implique l'édition du fichier de configuration grub ou lilo.

    nousb - Désactive le sous-système USB.
    Si cette option est présente, le sous-système USB ne sera pas initialisé.

    Répondre à thisnameisfalse
  7.   Raidel Celma dit
    il ya 10 ans.

    Comment garder à l'esprit que seul l'utilisateur root a l'autorisation de monter des périphériques USB et que les autres utilisateurs n'en ont pas.

    Merci.

    Répondre à Raidel celma
    1.    KZKG ^ Gaara dit
      il ya 10 ans.

      Comment garder à l'esprit que les distributions prêtes à l'emploi (comme celle que vous utilisez) montent automatiquement les périphériques USB, que ce soit Unity, Gnome ou KDE ... soit en utilisant policykit ou dbus, car c'est le système qui les monte, pas l'utilisateur.

      Pour rien 😉

      Répondre à KZKG ^ Gaara
  8.   vainqueur dit
    il ya 9 ans.

    Et si je veux annuler l'effet de
    sudo chmod 700 / média /

    Que dois-je mettre dans le terminal pour retrouver l'accès à l'USB?

    merci

    Répondre à Victor
  9.   anonyme dit
    il ya 6 ans.

    Cela ne fonctionne pas si vous connectez votre mobile avec un câble USB.

    Répondre à l'utilisateur
  10.   Ruyzz dit
    il ya 6 ans.

    sudo chmod 777 / media / pour le réactiver.

    Salutations.

    Répondre à ruyzz
  11.   Maurel Reyes dit
    il ya 3 ans.

    Ce n'est pas faisable. Ils ne doivent monter l'USB que dans un répertoire autre que / media.

    Si la désactivation du module USB ne fonctionne pas pour vous, vous devriez voir quel module est utilisé pour vos ports USB. peut-être que vous désactivez le mauvais.

    Répondre à Maurel Reyes
  12.   Jean Ferrier dit
    il ya Année 1

    Certainement le moyen le plus simple, j'en cherchais un depuis un moment et je ne pouvais pas penser à celui qui était sous mon nez. Merci beaucoup

    Réponse à John Ferrer
  13.   Jean Ferrier dit
    il ya Année 1

    Certainement le moyen le plus simple. J'en cherchais un depuis un moment et je ne pouvais pas penser à celui qui était juste sous mon nez. Merci beaucoup

    Réponse à John Ferrer