Ograničite upotrebu USB uređaja u Linuxu

Oni koji rade s korisnicima u institucijama koje zahtijevaju određena ograničenja, bilo da bi se zajamčila razina sigurnosti, bilo nekom idejom ili naredbom "odozgo" (kao što ovdje kažemo), puno puta trebaju primijeniti neka ograničenja pristupa na računalima, ovdje Govorit ću posebno o ograničavanju ili kontroli pristupa USB memorijskim uređajima.

Ograniči USB pomoću modprobe (nije mi uspio)

To nije baš nova praksa, sastoji se od dodavanja modula usb_storage na crnu listu učitanih modula jezgre, a to bi bilo:

echo usb_storage> $ HOME / crna lista sudo mv $ HOME / crna lista /etc/modprobe.d/

Zatim ponovno pokrenemo računalo i to je to.

Pojasnite da iako svi dijele ovu alternativu kao najučinkovitije rješenje, u mojem Archu to mi nije uspjelo

Onemogućite USB uklanjanjem upravljačkog programa kernela (kod mene nije radio)

Druga opcija bila bi uklanjanje USB upravljačkog programa iz jezgre, za to izvršavamo sljedeću naredbu:

sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/

Ponovo se pokrećemo i spremni.

To će biti da će datoteka koja sadrži USB upravljačke programe koje jezgra koristi premjestiti je u drugu mapu (/ root /).

Ako želite poništiti ovu promjenu, bit će dovoljno sa:

sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/

Ni ovaj način nije uspio kod mene, iz nekog su razloga USB-ovi nastavili raditi za mene.

Ograničavanje pristupa USB uređajima promjenom / medija / dozvola (AKO je to uspjelo kod mene)

Ovo je zasad metoda koja mi zasigurno djeluje. Kao što biste trebali znati, USB uređaji se montiraju na / media / o ... ako vaš distributer koristi systemd, oni se montiraju na / run / media /

Ono što ćemo učiniti je promijeniti dozvole u / media / (ili / run / media /) tako da SAMO root korisnik može pristupiti njegovom sadržaju, za to će biti dovoljno:

sudo chmod 700 /media/

ili ... ako koristite Arch ili bilo koji distro s systemd:

sudo chmod 700 /run/media/

Naravno, moraju uzeti u obzir da samo root korisnik ima dozvolu za montiranje USB uređaja, jer bi tada korisnik mogao USB montirati u drugu mapu i zaobići naša ograničenja.

Nakon što se to učini, USB uređaji kada se povežu bit će montirani, ali korisniku se neće pojaviti obavijest, niti će moći izravno pristupiti mapi ili bilo čemu drugom.

Kraj!

Postoje neki drugi načini objašnjeni na mreži, na primjer korištenje Gruba ... ali, pogodite što, ni meni to nije pošlo za rukom 🙂

Objavljujem toliko opcija (iako mi nisu sve radile), jer je moj poznanik kupio digitalni fotoaparat u internetska trgovina tehnoloških proizvoda u Čileu, sjetio se te skripte špijun-usb.sh da sam maloprije ovdje objasnioSjećam se, služi za špijuniranje USB uređaja i krađu podataka s njih) i pitao me postoji li način da se spriječi krađa podataka s njegovog novog fotoaparata ili barem neka opcija za blokiranje USB uređaja na kućnom računalu.

Svejedno, iako ovo nije zaštita vaše kamere od svih računala na koja je možete povezati, barem će moći zaštititi kućno računalo od uklanjanja osjetljivih podataka putem USB uređaja.

Nadam se da je bilo korisno (kao i uvijek), ako netko zna za bilo koji drugi način uskraćivanja pristupa USB-u u Linuxu, i naravno, radi bez problema, javite nam.


Sadržaj članka pridržava se naših načela urednička etika. Da biste prijavili pogrešku, kliknite ovdje.

14 komentara, ostavi svoj

Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   SnKisuke dijo

    Drugi mogući način za sprečavanje montiranja USB memorije mogao bi biti promjena pravila u udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, izmjenom pravila tako da samo root može montirati usb_storage uređaje, mislim da će to biti "fensi" način. Živjeli

  2.   OtakuLogan dijo

    U wiki Debianu kažu da ne blokiraju module izravno u datoteci /etc/modprobe.d/blacklist (.conf), već u neovisnoj koja završava na .conf: https://wiki.debian.org/KernelModuleBlacklisting . Ne znam jesu li u Archu stvari drugačije, ali bez da sam to probao na USB-ovima na računalu, ovako funkcionira, na primjer, s bumbarima i pcspkr-om.

    1.    OtakuLogan dijo

      I mislim da Arch koristi istu metodu, zar ne? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .

  3.   rudamacho dijo

    Mislim da bi bolja opcija promjenom dozvola bila stvaranje određene grupe za / media, na primjer "pendrive", dodjeljivanje te grupe / media i davanje dozvola 770, kako bismo mogli kontrolirati tko može koristiti ono što je montirano na / media dodavanjem korisnika u grupa «pendrive», nadam se da ste razumjeli 🙂

  4.   izkalotl dijo

    Pozdrav, KZKG ^ Gaara, u ovom slučaju možemo koristiti policykit, čime bismo postigli da prilikom umetanja USB uređaja sustav traži da se autentificiramo kao korisnik ili root prije nego što ga montiramo.
    Imam neke bilješke o tome kako sam to učinio, tijekom nedjelje ujutro to objavljujem.

    Pozdrav.

  5.   izkalotl dijo

    Dajući kontinuitet poruci o korištenju policykita i s obzirom na činjenicu da u ovom trenutku nisam uspio objaviti poruku (pretpostavljam da zbog promjena koje su se dogodile u Desdelinux UsemosLinuxu) ostavljam vas kao da sam spriječio korisnike da montiraju svoje USB uređaje. Ovo pod Debianom 7.6 s Gnomeom 3.4.2

    1.- Otvorite datoteku /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
    2.- Tražimo odjeljak «»
    3.- Mijenjamo sljedeće:

    "I to je"

    por:

    "Auth_admin"

    Spreman!! ovo će zahtijevati autentifikaciju kao root kada pokušavate montirati USB uređaj.

    reference:
    http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
    http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
    http://lwn.net/Articles/258592/

    Pozdrav.

    1.    Raidel celma dijo

      U koraku 2 ne razumijem na koji odjeljak mislite "Početnik sam".

      hvala na pomoći.

  6.   ovo ime je lažno dijo

    Druga metoda: dodajte opciju "nousb" u naredbeni redak za pokretanje jezgre, što uključuje uređivanje datoteke konfiguracije grub ili lilo.

    nousb - Onemogućite USB podsustav.
    Ako je ova opcija prisutna, USB podsustav neće biti inicijaliziran.

  7.   Raidel celma dijo

    Kako imati na umu da samo root korisnik ima dozvolu za montiranje USB uređaja, a ostali korisnici nemaju.

    Hvala Vam.

    1.    KZKG ^ Gaara dijo

      Kako imati na umu da distribuirane kartice (poput one koju koristite) automatski postavljaju USB uređaje, bilo Unity, Gnome ili KDE ... bilo pomoću policykita ili dbusa, jer ih montira sustav, a ne korisnik.

      Ni za što 😉

  8.   pobjednik dijo

    A ako želim otkazati učinak
    sudo chmod 700 / mediji /

    Što trebam staviti u terminal da vratim pristup USB-u?

    hvala

  9.   anoniman dijo

    To ne funkcionira ako svoj mobitel povežete USB kabelom.

  10.   ruyzz dijo

    sudo chmod 777 / media / za ponovno omogućavanje.

    Pozdrav.

  11.   Maurel reyes dijo

    To nije izvedivo. USB bi trebali montirati samo u direktorij koji nije / media.

    Ako vam onemogućavanje USB modula ne uspije, trebali biste vidjeti koji se modul koristi za vaše USB priključke. možda onemogućavate pogrešnu.