Restriktéiert d'Benotzung vun USB Geräter op Linux

Déi, déi mat Benotzer an Institutiounen schaffen, déi gewësse Restriktiounen erfuerderen, entweder fir e Sécherheetsniveau ze garantéieren, oder duerch eng Iddi oder Bestellung "vun uewen" (wéi mir hei soen), musse vill Mol e puer Zougangsbeschränkungen op Computeren implementéieren, hei ech wäert spezifesch iwwer d'Aschränkung oder d'Kontroll vun den Zougang zu USB-Späicherapparater schwätzen.

USB beschränken mat Modprobe (huet net fir mech geschafft)

Dëst ass net genau eng nei Praxis, et besteet aus dem Usb_storage Modul op déi schwaarz Lëscht vun de Kernemoduler déi geluede ginn, et wier:

echo usb_storage> $ HOME / schwaarz Lëscht sudo mv $ HOME / schwaarz Lëscht /etc/modprobe.d/

Da maache mir de Computer neu a starten et ass et.

Kloer datt obwuel jiddereen dës Alternativ als déi effektiv Léisung deelt, a mengem Arch huet et net fir mech geschafft

USB auszeschalten andeems Dir de Kernel Driver (net fir mech geschafft hutt)

Eng aner Optioun wier den USB Driver aus dem Kernel ze läschen, dofir féiere mir de folgenden Kommando aus:

sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/

Mir rebooten a prett.

Dëst wäert d'Datei mat den USB Treiber, déi vum Kernel benotzt ginn, an en aneren Dossier (/ root /) réckelen.

Wann Dir dës Ännerung wëllt réckgängeg maachen, geet et duer mat:

sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/

Dëse Wee huet och net fir mech geschafft, aus e puer Grënn hunn d'USB fir mech geschafft.

Zougang zu USB Geräter beschränken duerch Änneren / Medien / Permissiounen (WANN et fir mech geschafft huet)

Dëst ass bis elo d'Method déi sécher fir mech funktionnéiert. Wéi Dir sollt wëssen, USB-Geräter montéieren op / media / o ... wann Är Distro systemd benotzt, montéieren se op / run / media /

Wat mir wäerte maachen ass d'Rechter op / media / (oder / run / media /) z'änneren, sou datt NEMMEN de Rootbenutzer Zougang zu sengem Inhalt huet.

sudo chmod 700 /media/

oder ... wann Dir Arch oder all Distro mat systemd benotzt:

sudo chmod 700 /run/media/

Natierlech musse se berécksiichtegen datt nëmmen de Rootbenutzer d'Erlaabnes huet USB Geräter ze montéieren, well da kéint de Benotzer den USB an engem aneren Dossier montéieren an eis Restriktioun ëmgoen.

Wann dëst fäerdeg ass, ginn d'USB Geräter wa se ugeschloss sinn montéiert, awer keng Notifikatioun wäert dem Benotzer erschéngen, an och net fäeg sinn direkt Zougang zum Ordner oder eppes ze kréien.

D'Enn!

Et ginn e puer aner Weeër am Netz erkläert, zum Beispill mat Grub ... awer, roden wat, et huet och net fir mech geschafft 🙂

Ech poste sou vill Optiounen (och wann net all fir mech geschafft hunn) well e Bekannte vu mir eng digital Kamera bei engem kaaft huet Online Store Technologie Produkter am Chile, hien huet sech un dat Skript erënnert spy-usb.sh dat hunn ech viru enger Zäit erkläertEch erënnere mech, et déngt fir USB Geräter ze spionéieren an Informatioune vun dësen ze klauen) a mech gefrot ob et iergendwéi méiglech wier ze verhënneren datt Informatioun vu senger neier Kamera geklaut gëtt, oder op d'mannst eng Optioun fir USB Geräter op sengem Heemcomputer ze blockéieren.

Jiddefalls, och wann dëst net e Schutz fir Är Kamera ass géint all Computeren an deenen Dir se verbanne kënnt, op d'mannst wäert et fäeg sinn den Heem-PC ze schützen virun der Entfernung vu sensiblen Informatiounen iwwer USB-Geräter.

Ech hoffen et war (wéi ëmmer) nëtzlech, wann iergendeen aner Methode weess fir den Zougang zu USB a Linux ze verweigeren an natierlech funktionnéiert et ouni Probleemer, so eis Bescheed.


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

14 Kommentaren, loosst ären

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.

  1.   SnKisuke sot

    En anere méigleche Wee fir ze vermeiden eng USB-Speicherung ze vermeiden kéint sinn andeems d'Regele vun udev geännert ginn http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, andeems d'Regel geännert gëtt sou datt nëmmen root usb_storage Geräter montéiere kann, ech mengen et wäert e "flotte" Wee sinn. Prost

  2.   OtakuLogan sot

    An der Debian Wiki soen se net Moduler direkt an der /etc/modprobe.d/blacklist (.conf) Datei ze blockéieren, awer an engem onofhängegen deen op .conf endet: https://wiki.debian.org/KernelModuleBlacklisting . Ech weess net ob d'Saachen an Arch anescht sinn, awer ouni et op USBen op mengem Computer probéiert ze hunn, funktionnéiert et esou mat zum Beispill Bommeleeër a pcspkr.

    1.    OtakuLogan sot

      An ech mengen Arch benotzt déi selwecht Method, oder? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .

  3.   rudamacho sot

    Ech denken eng besser Optioun andeems Dir Permissiounen ännert wier eng spezifesch Grupp fir / Media ze kreéieren, zum Beispill "pendrive", dës Grupp u / media zouzeginn a Permissiounen 770 ginn, sou datt mir kënne kontrolléieren wien dat benotze kann wat op / media montéiert ass andeems de Benotzer op de Grupp «pendrive», ech hoffen Dir hutt verstanen 🙂

  4.   izkalotl sot

    Moien, KZKG ^ Gaara, an dësem Fall kënne mir policykit benotzen, mat dësem wäerte mir erreechen datt wann en USB-Gerät agefouert gëtt de System eis freet als Benotzer oder Root ze authentifizéieren ier e montéiert gëtt.
    Ech hunn e puer Notizen wéi ech et gemaach hunn, am Laf vum Sonndeg de Moien posten ech et.

    Merci.

  5.   izkalotl sot

    Kontinuitéit ze ginn fir d'Botschaft iwwer d'Benotzung vu Policykit an en vue vun der Tatsaach datt ech de Moment net konnt posten (ech huelen un datt duerch d'Ännerungen déi an Desdelinux UsemosLinux geschitt sinn) Ech loossen Iech wéi ech et gemaach hunn fir ze verhënneren datt d'Benotzer montéieren hir USB Geräter. Dëst ënner Debian 7.6 mam Gnome 3.4.2

    1. - Öffnen d'Datei /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
    2.- Mir sichen d'Sektioun «»
    3.- Mir änneren déi folgend:

    "An et ass"

    por:

    "Auth_admin"

    Prett !! dëst erfuerdert Iech als Root ze authentifizéieren wann Dir en USB-Gerät montéiert.

    Referenzen:
    http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
    http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
    http://lwn.net/Articles/258592/

    Merci.

    1.    Raidel celma sot

      Am Schrëtt 2 verstinn ech net wéi eng Sektioun Dir mengt "Ech sinn en Ufänger."

      Merci fir d'Hëllef.

  6.   dësen Numm ass falsch sot

    Eng aner Method: füügt d'Optioun "nousb" an d'Kernel Boot Kommandozeil, déi d'Editioun vun der Grub oder Lilo Config Datei involvéiert.

    nousb - Desaktivéiert den USB Subsystem.
    Wann dës Optioun präsent ass, gëtt den USB Subsystem net initialiséiert.

  7.   Raidel celma sot

    Wéi Dir am Kapp behalen datt nëmmen de root Benotzer Permissiounen huet fir USB Geräter ze montéieren an déi aner Benotzer net.

    Merci.

    1.    KZKG ^ Gaara sot

      Wéi Dir am Kapp behält datt out-of-the-box Distros (wéi deen deen Dir benotzt) automatesch USB Geräter montéieren, entweder Unity, Gnome oder KDE ... entweder mat policykit oder dbus, well et ass de System deen se montéiert, net de Benotzer.

      Fir näischt 😉

  8.   Victor sot

    A wann ech den Effekt vum
    sudo chmod 700 / bedeit /

    Wat soll ech an den Terminal setzen fir Zougang zum USB ze kréien?

    merci

  9.   anonym sot

    Dat funktionnéiert net wann Dir Ären Handy mat engem USB Kabel verbënnt.

  10.   ruyzz sot

    sudo chmod 777 / media / fir nei z'aktivéieren.

    Merci.

  11.   Maurel reyes sot

    Dëst ass net machbar. Si sollten nëmmen den USB an engem anere Verzeechnes montéieren wéi / Medien.

    Wann den USB Modul deaktivéieren net fir Iech funktionnéiert, sollt Dir kucken wéi ee Modul fir Är USB Ports benotzt gëtt. vläicht deaktivéiert Dir déi falsch.