Coloro che lavorano con utenti in istituzioni che richiedono determinate restrizioni, sia per garantire un livello di sicurezza, sia per qualche idea o ordine "dall'alto" (come diciamo qui), molte volte hanno bisogno di implementare alcune restrizioni di accesso sui computer, qui io parlerà specificamente della limitazione o del controllo dell'accesso ai dispositivi di archiviazione USB.
Limita USB usando modprobe (non ha funzionato per me)
Questa non è esattamente una nuova pratica, consiste nell'aggiungere il modulo usb_storage alla lista nera dei moduli del kernel che vengono caricati, sarebbe:
echo usb_storage> $ HOME / blacklist sudo mv $ HOME / blacklist /etc/modprobe.d/
Quindi riavviamo il computer e il gioco è fatto.
Disabilita USB rimuovendo il driver del kernel (non ha funzionato per me)
Un'altra opzione sarebbe quella di rimuovere il driver USB dal kernel, per questo eseguiamo il seguente comando:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
Riavviamo e siamo pronti.
Questo sposterà il file contenente i driver USB usati dal kernel in un'altra cartella (/ root /).
Se vuoi annullare questa modifica, sarà sufficiente con:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
Limitare l'accesso ai dispositivi USB modificando / media / permessi (SE ha funzionato per me)
Questo è finora il metodo che sicuramente funziona per me. Come dovresti sapere, i dispositivi USB sono montati su / media / o ... se la tua distribuzione usa systemd, sono montati su / run / media /
Quello che faremo è modificare i permessi in / media / (o / run / media /) in modo che SOLO l'utente root possa accedere al suo contenuto, per questo sarà sufficiente:
sudo chmod 700 /media/
o ... se usi Arch o qualsiasi distribuzione con systemd:
sudo chmod 700 /run/media/
Fatto ciò, i dispositivi USB, una volta collegati, verranno montati, ma all'utente non apparirà alcuna notifica, né potrà accedere direttamente alla cartella o altro.
La fine!
Ci sono altri modi spiegati in rete, ad esempio usando Grub ... ma, indovina un po ', non ha funzionato neanche per me 🙂
Pubblico così tante opzioni (anche se non tutte hanno funzionato per me) perché un mio conoscente ha acquistato una fotocamera digitale in un prodotti tecnologici del negozio online in Cile, ha ricordato quella sceneggiatura spia-usb.sh che tempo fa ho spiegato quiRicordo, serve per spiare i dispositivi USB e rubare informazioni da questi) e mi ha chiesto se c'era un modo per impedire che le informazioni venissero rubate dalla sua nuova fotocamera, o almeno qualche opzione per bloccare i dispositivi USB sul suo computer di casa.
Ad ogni modo, sebbene questa non sia una protezione per la tua fotocamera da tutti i computer a cui puoi collegarla, almeno sarà in grado di proteggere il PC di casa dalla rimozione di informazioni sensibili tramite dispositivi USB.
Spero sia stato (come sempre) utile per te, se qualcuno conosce qualche altro metodo per negare l'accesso a USB in Linux e, ovviamente, funziona senza problemi, faccelo sapere.
Un altro modo possibile per impedire il montaggio di una memoria USB potrebbe essere la modifica delle regole in udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, modificando la regola in modo che solo root possa montare dispositivi usb_storage, penso che sarà un modo "stravagante". Saluti
Nel wiki Debian si dice di non bloccare i moduli direttamente nel file /etc/modprobe.d/blacklist (.conf), ma in uno indipendente che termina con .conf: https://wiki.debian.org/KernelModuleBlacklisting . Non so se la cosa sia diversa in Arch, ma senza averlo provato su USB del mio computer funziona così con, ad esempio, con bumblebee e pcspkr.
E penso che Arch usi lo stesso metodo, giusto? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
Penso che un'opzione migliore cambiando i permessi sarebbe quella di creare un gruppo specifico per / media, ad esempio "pendrive", assegnare quel gruppo a / media e dare i permessi 770, così potremmo controllare chi può usare ciò che è montato su / media da aggiungendo l'utente al gruppo «pendrive», spero abbiate capito 🙂
Ciao, KZKG ^ Gaara, in questo caso possiamo usare policykit, con questo otterremmo che quando inseriamo un dispositivo USB il sistema ci chiede di autenticarci come utente o root prima di montarlo.
Ho degli appunti su come l'ho fatto, nel corso della domenica mattina lo posto.
Saluti.
Dando continuità al messaggio sull'utilizzo del policykit e visto che al momento non ho potuto postare (suppongo a causa dei cambiamenti intervenuti in Desdelinux Usiamo Linux) Vi lascio come ho fatto per impedire agli utenti di montare i propri dispositivi USB. Questo sotto Debian 7.6 con Gnome 3.4.2
1.- Apri il file /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2.- Cerchiamo la sezione «»
3.- Modifichiamo quanto segue:
"E questo è"
da:
"Auth_admin"
Pronto!! questo richiederà l'autenticazione come root quando provi a montare un dispositivo USB.
riferimenti:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
Saluti.
Nel passaggio 2 non capisco quale sezione intendi "Sono un principiante".
Grazie per l'aiuto.
Un altro metodo: aggiungi l'opzione "nousb" alla riga di comando di avvio del kernel, che implica la modifica del file di configurazione di grub o lilo.
nousb - Disabilita il sottosistema USB.
Se questa opzione è presente, il sottosistema USB non verrà inizializzato.
Come tenere presente che solo l'utente root ha i permessi per montare i dispositivi USB e gli altri utenti no.
Grazie.
Come tenere a mente che le distribuzioni predefinite (come quella che usi) montano automaticamente i dispositivi USB, Unity, Gnome o KDE ... o usando policykit o dbus, perché è il sistema che le monta, non l'utente.
Per niente 😉
E se voglio annullare l'effetto di
sudo chmod 700 / media /
Cosa devo inserire nel terminale per riottenere l'accesso all'USB?
grazie
Non funziona se colleghi il tuo cellulare con un cavo USB.
sudo chmod 777 / media / per riattivare.
Saluti.
Questo non è fattibile. Dovrebbero montare l'USB solo in una directory diversa da / media.
Se disabilitare il modulo USB non funziona per te, dovresti vedere quale modulo viene utilizzato per le tue porte USB. forse stai disabilitando quello sbagliato.
Sicuramente la via più semplice, ne cercavo una da un po' e non mi veniva in mente quella che avevo sotto il naso. Grazie molte
Sicuramente il modo più semplice. Ne cercavo uno da un po' e non riuscivo a pensare a quello che avevo proprio sotto il naso. Grazie molte