LinuxでのUSBデバイスの使用を制限する

セキュリティのレベルを保証するために、または「上から」(ここで言うように)何らかのアイデアや命令によって、特定の制限を必要とする機関のユーザーと協力する人は、多くの場合、ここでコンピューターにアクセス制限を実装する必要があります。特に、USBストレージデバイスへのアクセスを制限または制御する方法について説明します。

modprobeを使用してUSBを制限します(私には機能しませんでした)

これはまったく新しい方法ではありません。ロードされるカーネルモジュールのブラックリストにusb_storageモジュールを追加することで構成されます。次のようになります。

echo usb_storage> $ HOME / blacklist sudo mv $ HOME / blacklist /etc/modprobe.d/

次に、コンピューターを再起動します。それだけです。

誰もがこの代替案を最も効果的な解決策として共有していますが、私のアーチではそれがうまくいかなかったことを明確にします

カーネルドライバーを削除してUSBを無効にします(私には機能しませんでした)

もうXNUMXつのオプションは、カーネルからUSBドライバーを削除することです。このために、次のコマンドを実行します。

sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/

再起動して準備をします。

これにより、カーネルが使用するUSB​​ドライバーを含むファイルが別のフォルダー(/ root /)に移動します。

この変更を元に戻したい場合は、次の方法で十分です。

sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/

この方法も私にはうまくいきませんでした。何らかの理由で、USBは私のために機能し続けました。

/メディア/権限を変更してUSBデバイスへのアクセスを制限します(それが私のために働いた場合)

これは今のところ私にとって確かにうまくいく方法です。 ご存知のとおり、USBデバイスは/ media / oにマウントされています...ディストリビューションがsystemdを使用している場合、それらは/ run / media /にマウントされます。

ルートユーザーのみがコンテンツにアクセスできるように、権限を/ media /(または/ run / media /)に変更します。これで十分です。

sudo chmod 700 /media/

または... Archまたはsystemdで任意のディストロを使用する場合:

sudo chmod 700 /run/media/

もちろん、rootユーザーだけがUSBデバイスをマウントする権限を持っていることを考慮に入れる必要があります。そうすると、ユーザーはUSBを別のフォルダーにマウントして、制限を回避できるからです。

これが完了すると、接続されたときにUSBデバイスがマウントされますが、ユーザーには通知が表示されず、フォルダーなどに直接アクセスすることもできません。

終わり!

ネット上で説明されている他の方法がいくつかあります。たとえば、Grubを使用するなどです...しかし、私にとってもうまくいきませんでした🙂

私の知人がでデジタルカメラを購入したので、私は非常に多くのオプションを投稿します(それらのすべてが私のために働いたわけではありませんが) チリのオンラインストアテクノロジー製品、彼はそのスクリプトを思い出しました spy-usb.sh 少し前にここで説明しました私は覚えています、それはUSBデバイスをスパイし、これらから情報を盗むのに役立ちます)そして、彼の新しいカメラから情報が盗まれるのを防ぐ方法があるかどうか、または少なくとも彼の自宅のコンピューターでUSBデバイスをブロックするいくつかのオプションがあるかどうか私に尋ねました。

とにかく、これは接続できるすべてのコンピューターに対するカメラの保護ではありませんが、少なくともUSBデバイスを介して取得される機密情報から家庭用PCを保護することはできます。

LinuxでUSBへのアクセスを拒否する他の方法を誰かが知っていて、もちろん問題なく機能する場合は、(いつものように)お役に立てば幸いです。お知らせください。


記事の内容は、次の原則に準拠しています。 編集倫理。 エラーを報告するには、 ここで.

14コメント、あなたのコメントを残してください

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   すんきすけ

    usbストレージのマウントを回避する別の可能な方法は、udevのルールを変更することです。 http://www.reactivated.net/writing_udev_rules.html#example-usbhdd、rootだけがusb_storageデバイスをマウントできるようにルールを変更することで、「派手な」方法になると思います。 乾杯

  2.   オタクロガン

    Debian wikiでは、モジュールを/etc/modprobe.d/blacklist(.conf)ファイルで直接ブロックするのではなく、.confで終わる独立したファイルでブロックすると述べています。 https://wiki.debian.org/KernelModuleBlacklisting 。 Archで状況が異なるかどうかはわかりませんが、コンピューターのUSBで試してみないと、たとえばbumblebeeやpcspkrでこのように動作します。

    1.    オタクロガン

      そして、私はアーチが同じ方法を使用していると思いますよね? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .

  3.   ルダマチョ

    パーミッションを変更することによるより良いオプションは、/メディア用の特定のグループ(たとえば「pendrive」)を作成し、そのグループを/ mediaに割り当て、パーミッション770を与えることです。これにより、ユーザーを/メディアに追加することで、/メディアにマウントされているものを使用できるユーザーを制御できます。グループ«ペンドライブ»、あなたが理解していることを願っています🙂

  4.   イズカロトル

    こんにちは、KZKG ^ Gaara、この場合はpolicykitを使用できます。これにより、USBデバイスを挿入するときに、マウントする前にシステムがユーザーまたはルートとして認証するように要求するようになります。
    私はそれをどのようにしたかについていくつかのメモを持っています、日曜日の朝の間に私はそれを投稿します。

    ご挨拶。

  5.   イズカロトル

    ポリシーキットの使用に関するメッセージに継続性を与え、現時点では投稿できなかったという事実を考慮して(Desdelinux UsemosLinuxで発生した変更のためだと思います)、ユーザーがUSBデバイスをマウントできないようにしたままにしておきます。 これは、Gnome7.6を使用したDebian3.4.2で発生します

    1.-ファイル/usr/share/polkit-1/actions/org.freedesktop.udisks.policyを開きます
    2.-セクション«»を探します
    3.-以下を変更します。

    「そしてそれは」

    によって:

    「Auth_admin」

    レディ!! これには、USBデバイスをマウントしようとするときにrootとして認証する必要があります。

    参考文献:
    http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
    http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
    http://lwn.net/Articles/258592/

    ご挨拶。

    1.    レイデルセルマ

      ステップ2では、「私は初心者です」という意味がわかりません。

      助けてくれてありがとう。

  6.   この名前は偽です

    別の方法:「nousb」オプションをカーネルブートコマンドラインに追加します。これには、grubまたはlilo構成ファイルの編集が含まれます。

    nousb-USBサブシステムを無効にします。
    このオプションが存在する場合、USBサブシステムは初期化されません。

  7.   レイデルセルマ

    rootユーザーのみがUSBデバイスをマウントする権限を持ち、他のユーザーは持っていないことに注意する方法。

    ありがとうございます。

    1.    KZKG ^我愛羅

      すぐに使用できるディストリビューション(使用するものなど)は、Unity、Gnome、またはKDEのいずれかのUSBデバイスを自動的にマウントすることを覚えておく方法...ポリシーキットまたはdbusを使用します。これは、ユーザーではなく、それらをマウントするシステムであるためです。

      何もしません😉

  8.   ビクター

    そして、の効果をキャンセルしたい場合
    sudo chmod 700 /平均/

    USBに再びアクセスするには、端末に何を入れる必要がありますか?

    感謝

  9.   匿名の

    モバイルをUSBケーブルで接続している場合は機能しません。

  10.   ルイズ

    sudo chmod 777 / media /再度有効にします。

    ご挨拶。

  11.   モーレル・レイズ

    これは実行可能ではありません。 USBは/ media以外のディレクトリにのみマウントする必要があります。

    USBモジュールを無効にしても問題が解決しない場合は、USBポートに使用されているモジュールを確認する必要があります。 間違ったものを無効にしている可能性があります。