Oni koji rade s korisnicima u institucijama koje zahtijevaju određena ograničenja, bilo da bi se zajamčila razina sigurnosti, bilo nekom idejom ili naredbom "odozgo" (kao što ovdje kažemo), puno puta trebaju primijeniti neka ograničenja pristupa na računalima, ovdje Govorit ću posebno o ograničavanju ili kontroli pristupa USB memorijskim uređajima.
Ograniči USB pomoću modprobe (nije mi uspio)
To nije baš nova praksa, sastoji se od dodavanja modula usb_storage na crnu listu učitanih modula jezgre, a to bi bilo:
echo usb_storage> $ HOME / crna lista sudo mv $ HOME / crna lista /etc/modprobe.d/
Zatim ponovno pokrenemo računalo i to je to.
Onemogućite USB uklanjanjem upravljačkog programa kernela (kod mene nije radio)
Druga opcija bila bi uklanjanje USB upravljačkog programa iz jezgre, za to izvršavamo sljedeću naredbu:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
Ponovo se pokrećemo i spremni.
To će biti da će datoteka koja sadrži USB upravljačke programe koje jezgra koristi premjestiti je u drugu mapu (/ root /).
Ako želite poništiti ovu promjenu, bit će dovoljno sa:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
Ograničavanje pristupa USB uređajima promjenom / medija / dozvola (AKO je to uspjelo kod mene)
Ovo je zasad metoda koja mi zasigurno djeluje. Kao što biste trebali znati, USB uređaji se montiraju na / media / o ... ako vaš distributer koristi systemd, oni se montiraju na / run / media /
Ono što ćemo učiniti je promijeniti dozvole u / media / (ili / run / media /) tako da SAMO root korisnik može pristupiti njegovom sadržaju, za to će biti dovoljno:
sudo chmod 700 /media/
ili ... ako koristite Arch ili bilo koji distro s systemd:
sudo chmod 700 /run/media/
Nakon što se to učini, USB uređaji kada se povežu bit će montirani, ali korisniku se neće pojaviti obavijest, niti će moći izravno pristupiti mapi ili bilo čemu drugom.
Kraj!
Postoje neki drugi načini objašnjeni na mreži, na primjer korištenje Gruba ... ali, pogodite što, ni meni to nije pošlo za rukom 🙂
Objavljujem toliko opcija (iako mi nisu sve radile), jer je moj poznanik kupio digitalni fotoaparat u internetska trgovina tehnoloških proizvoda u Čileu, sjetio se te skripte špijun-usb.sh da sam maloprije ovdje objasnioSjećam se, služi za špijuniranje USB uređaja i krađu podataka s njih) i pitao me postoji li način da se spriječi krađa podataka s njegovog novog fotoaparata ili barem neka opcija za blokiranje USB uređaja na kućnom računalu.
Svejedno, iako ovo nije zaštita vaše kamere od svih računala na koja je možete povezati, barem će moći zaštititi kućno računalo od uklanjanja osjetljivih podataka putem USB uređaja.
Nadam se da je bilo korisno (kao i uvijek), ako netko zna za bilo koji drugi način uskraćivanja pristupa USB-u u Linuxu, i naravno, radi bez problema, javite nam.
Drugi mogući način za sprečavanje montiranja USB memorije mogao bi biti promjena pravila u udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, izmjenom pravila tako da samo root može montirati usb_storage uređaje, mislim da će to biti "fensi" način. Živjeli
U wiki Debianu kažu da ne blokiraju module izravno u datoteci /etc/modprobe.d/blacklist (.conf), već u neovisnoj koja završava na .conf: https://wiki.debian.org/KernelModuleBlacklisting . Ne znam jesu li u Archu stvari drugačije, ali bez da sam to probao na USB-ovima na računalu, ovako funkcionira, na primjer, s bumbarima i pcspkr-om.
I mislim da Arch koristi istu metodu, zar ne? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
Mislim da bi bolja opcija promjenom dozvola bila stvaranje određene grupe za / media, na primjer "pendrive", dodjeljivanje te grupe / media i davanje dozvola 770, kako bismo mogli kontrolirati tko može koristiti ono što je montirano na / media dodavanjem korisnika u grupa «pendrive», nadam se da ste razumjeli 🙂
Pozdrav, KZKG ^ Gaara, u ovom slučaju možemo koristiti policykit, čime bismo postigli da prilikom umetanja USB uređaja sustav traži da se autentificiramo kao korisnik ili root prije nego što ga montiramo.
Imam neke bilješke o tome kako sam to učinio, tijekom nedjelje ujutro to objavljujem.
Pozdrav.
Dandole continuidad al mesaje sobre usar policykit y en vista de que de momento no he podido postear (supongo que debido a los cambios sucedidos en Desdelinux UsemosLinux) te dejo como hice para evitar que usuarios monten sus dispositivos USB. Esto bajo Debian 7.6 con Gnome 3.4.2
1.- Otvorite datoteku /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2.- Tražimo odjeljak «»
3.- Mijenjamo sljedeće:
"I to je"
por:
"Auth_admin"
Spreman!! ovo će zahtijevati autentifikaciju kao root kada pokušavate montirati USB uređaj.
reference:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
Pozdrav.
U koraku 2 ne razumijem na koji odjeljak mislite "Početnik sam".
hvala na pomoći.
Druga metoda: dodajte opciju "nousb" u naredbeni redak za pokretanje jezgre, što uključuje uređivanje datoteke konfiguracije grub ili lilo.
nousb - Onemogućite USB podsustav.
Ako je ova opcija prisutna, USB podsustav neće biti inicijaliziran.
Kako imati na umu da samo root korisnik ima dozvolu za montiranje USB uređaja, a ostali korisnici nemaju.
Hvala Vam.
Kako imati na umu da distribuirane kartice (poput one koju koristite) automatski postavljaju USB uređaje, bilo Unity, Gnome ili KDE ... bilo pomoću policykita ili dbusa, jer ih montira sustav, a ne korisnik.
Ni za što 😉
A ako želim otkazati učinak
sudo chmod 700 / mediji /
Što trebam staviti u terminal da vratim pristup USB-u?
hvala
To ne funkcionira ako svoj mobitel povežete USB kabelom.
sudo chmod 777 / media / za ponovno omogućavanje.
Pozdrav.
To nije izvedivo. USB bi trebali montirati samo u direktorij koji nije / media.
Ako vam onemogućavanje USB modula ne uspije, trebali biste vidjeti koji se modul koristi za vaše USB priključke. možda onemogućavate pogrešnu.
Definitivno najlakši način, već neko vrijeme tražim jedan i nisam se mogao sjetiti koji mi je bio pod nosom. Puno ti hvala
Definitivno najlakši način. Već neko vrijeme tražim jedan i nisam se mogao sjetiti onoga koji mi je bio pred nosom. Puno ti hvala