מי שעובד עם משתמשים במוסדות שדורשים הגבלות מסוימות, בין אם כדי להבטיח רמת אבטחה, או על ידי רעיון כלשהו או הזמנה "מלמעלה" (כמו שאנו אומרים כאן), פעמים רבות צריך ליישם כמה הגבלות גישה על מחשבים, כאן אדבר ספציפית על הגבלת או שליטה בגישה להתקני אחסון USB.
הגבל את ה- USB באמצעות modprobe (לא עבד בשבילי)
זה לא בדיוק נוהג חדש, זה מורכב מהוספת מודול usb_storage לרשימה השחורה של מודולי הליבה שנטענים, זה יהיה:
הד usb_storage> $ HOME / רשימה שחורה sudo mv $ HOME / רשימה שחורה /etc/modprobe.d/
ואז אנחנו מפעילים מחדש את המחשב וזהו.
השבת USB על ידי הסרת מנהל ההתקן של הליבה (לא עבד בשבילי)
אפשרות נוספת תהיה להסיר את מנהל ההתקן USB מהליבה, לשם כך אנו מבצעים את הפקודה הבאה:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
אנחנו מבצעים אתחול מחדש ומוכנים.
פעולה זו תעביר את הקובץ המכיל את מנהלי ההתקן USB המשמשים את הליבה לתיקיה אחרת (/ root /).
אם אתה רוצה לבטל את השינוי הזה, זה יספיק עם:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
הגבל גישה למכשירי USB על ידי שינוי / מדיה / הרשאות (אם זה עבד בשבילי)
עד כאן זו השיטה שבהחלט עובדת בשבילי. כפי שאתה צריך לדעת, התקני USB מותקנים ב- / media / o ... אם ההפצה שלך משתמשת ב- systemd, הם מותקנים ב- / run / media /
מה שנעשה הוא לשנות את ההרשאות ל- / media / (או / run / media /) כך שרק משתמש השורש יוכל לגשת לתוכן שלו, בשביל זה זה יספיק:
sudo chmod 700 /media/
או ... אם אתה משתמש ב- Arch או בכל distro עם systemd:
sudo chmod 700 /run/media/
לאחר שהדבר נעשה, התקני ה- USB בעת חיבורם יותקנו, אך לא תופיע שום התראה למשתמש וגם לא יוכלו לגשת ישירות לתיקיה או לכל דבר אחר.
הסוף!
ישנן כמה דרכים אחרות שהוסברו ברשת, למשל שימוש ב- Grub ... אבל, נחשו מה, זה גם לא עבד עבורי 🙂
אני מפרסם כל כך הרבה אופציות (למרות שלא כולן עבדו בשבילי) כי מכר שלי קנה מצלמה דיגיטלית בא מוצרים טכנולוגיים של חנויות מקוונות בצ'ילה, הוא זכר את התסריט הזה spy-usb.sh שלפני זמן מה הסברתי כאןאני זוכר, זה משמש לרגל התקני USB ולגנוב מידע מאלה) ושאל אותי אם יש דרך למנוע גניבת מידע מהמצלמה החדשה שלו, או לפחות אפשרות כלשהי לחסום התקני USB במחשב הביתי שלו.
בכל מקרה, למרות שלא מדובר בהגנה על המצלמה שלכם מפני כל המחשבים בהם תוכלו לחבר אותה, לפחות היא תוכל להגן על המחשב הביתי מפני הסרת מידע רגיש דרך התקני USB.
אני מקווה שזה היה שימושי (כמו תמיד), אם מישהו מכיר שיטה אחרת לשלול גישה ל- USB בלינוקס וכמובן שזה עובד בלי בעיות, יידע אותנו.
דרך אפשרית נוספת להימנע מהרכבת אחסון USB יכולה להיות על ידי שינוי הכללים ב- udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, על ידי שינוי הכלל כך שרק שורש יכול לעלות התקני usb_storage, אני חושב שזו תהיה דרך "מהודרת". לחיים
בוויקי דביאן הם אומרים לא לחסום מודולים ישירות בקובץ /etc/modprobe.d/blacklist (.conf), אלא בקובץ עצמאי שמסתיים ב- .conf: https://wiki.debian.org/KernelModuleBlacklisting . אני לא יודע אם הדברים שונים ב- Arch, אבל מבלי שניסיתי את זה על גבי USB במחשב שלי זה עובד ככה עם, למשל, דבורה ו pcspkr.
ואני חושב ש- Arch עושה שימוש באותה שיטה, נכון? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
אני חושב שאפשרות טובה יותר על ידי שינוי הרשאות תהיה ליצור קבוצה ספציפית עבור / מדיה, למשל "pendrive", להקצות את הקבוצה ההיא ל- / media ולתת הרשאות 770, כדי שנוכל לשלוט במי יכול להשתמש במה שמורכב / media על ידי הוספת המשתמש לקבוצה «pendrive», אני מקווה שהבנתם 🙂
שלום, KZKG ^ גאארה, במקרה זה אנו יכולים להשתמש בפוליסיקיט, ובכך היינו משיגים שכאשר מכניסים התקן USB המערכת מבקשת מאיתנו לאמת כמשתמש או שורש לפני הרכבה.
יש לי כמה הערות איך עשיתי את זה, במהלך יום ראשון בבוקר אני מפרסם את זה.
ברכות.
מתן המשכיות להודעה על השימוש ב-policykit ובהתחשב בכך שכרגע לא הצלחתי לפרסם (אני מניח שבשל השינויים שחלו ב Desdelinux בואו נשתמש בלינוקס) אני משאיר לכם איך עשיתי כדי למנוע ממשתמשים להרכיב את התקני ה-USB שלהם. זה תחת דביאן 7.6 עם Gnome 3.4.2
1. - פתח את הקובץ /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2.- אנו מחפשים את הסעיף «»
3.- אנו משנים את הדברים הבאים:
"וזה"
por:
"Auth_admin"
מוּכָן!! זה ידרוש ממך לאמת כשורש כשאתה מנסה להתקין התקן USB.
הפניות:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
ברכות.
בשלב 2 אני לא מבין לאיזה קטע אתה מתכוון "אני מתחיל".
תודה על העזרה.
שיטה נוספת: הוסף את שורת הפקודה "kernel" של האפשרות "nousb", הכוללת עריכה של קובץ התצורה grub או lilo.
nousb - השבת את תת מערכת ה- USB.
אם אפשרות זו קיימת, תת מערכת ה- USB לא תאותחל.
כיצד לזכור כי רק למשתמש הבסיס יש הרשאה להתקין התקני USB ולמשתמשים האחרים אין.
תודה.
איך לזכור שהפצות מחוץ לקופסה (כמו זו בה אתה משתמש) מרכיבות באופן אוטומטי התקני USB, Unity, Gnome או KDE ... או באמצעות policykit או dbus, כי המערכת היא שמרכיבה אותם, לא המשתמש.
לחינם 😉
ואם אני רוצה לבטל את ההשפעה של
sudo chmod 700 / מדיה /
מה עלי להכניס למסוף כדי להחזיר גישה ל- USB?
תודה
זה לא עובד אם אתה מחבר את הנייד שלך באמצעות כבל USB.
sudo chmod 777 / media / כדי להפעיל מחדש.
ברכות.
הדבר אינו בר ביצוע. עליהם להתקין את ה- USB רק בספרייה שאינה / מדיה.
אם השבתת מודול ה- USB אינה פועלת עבורך, עליך לראות איזה מודול משמש ליציאות ה- USB שלך. אולי אתה משבית את הדבר הלא נכון.
ללא ספק הדרך הקלה ביותר, חיפשתי כזה כבר זמן מה ולא יכולתי לחשוב על האחד שהיה מתחת לאף שלי. תודה רבה לך
ללא ספק הדרך הקלה ביותר. חיפשתי אחד מזה זמן מה ולא הצלחתי לחשוב על זה שהיה ממש מתחת לאף שלי. תודה רבה לך