Tiems, kurie dirba su vartotojais įstaigose, kuriose reikalingi tam tikri apribojimai, kad būtų užtikrintas saugumo lygis, arba pagal kokią nors idėją ar įsakymą „iš viršaus“ (kaip sakome čia), dažnai reikia įdiegti kai kuriuos prieigos prie kompiuterių apribojimus, čia kalbėkite konkrečiai apie prieigos prie USB atminties įrenginių apribojimą ar kontrolę.
Apriboti USB naudojant „modprobe“ (man netiko)
Tai nėra visiškai nauja praktika, tai yra „usb_storage“ modulio įtraukimas į įkeliamų branduolio modulių juodąjį sąrašą:
echo usb_storage> $ HOME / blacklist sudo mv $ HOME / blacklist /etc/modprobe.d/
Tada mes perkrauname kompiuterį ir viskas.
Išjunkite USB, pašalindami branduolio tvarkyklę (man netiko)
Kita galimybė būtų pašalinti USB tvarkyklę iš branduolio, tam mes vykdome šią komandą:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
Perkrauname ir pasiruošę.
Tai reiškia, kad failas, kuriame yra branduolio naudojamos USB tvarkyklės, perkels jį į kitą aplanką (/ root /).
Jei norite anuliuoti šį pakeitimą, pakaks:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
Apribokite prieigą prie USB įrenginių, pakeisdami / media / (jei man tai pasiteisino) leidimus
Tai kol kas man tikrai tinkamas metodas. Kaip turėtumėte žinoti, USB įrenginiai yra prijungti prie / media / o ... jei jūsų platintojas naudoja „systemd“, jie yra pritvirtinti prie / run / media /
Ką darysime, pakeisime teises į / media / (arba / run / media /), kad TIK šaknis vartotojas galėtų pasiekti jo turinį, tam pakaks:
sudo chmod 700 /media/
arba ... jei su „systemd“ naudojate „Arch“ ar bet kokį „distro“
sudo chmod 700 /run/media/
Kai tai bus padaryta, prijungti USB įrenginiai bus prijungti, tačiau vartotojui nebus rodomas pranešimas ir jie negalės tiesiogiai pasiekti aplanko ar nieko.
Pabaiga!
Yra keletas kitų būdų, paaiškintų internete, pavyzdžiui, naudojant „Grub“ ... bet, spėkit, man tai taip pat netiko 🙂
Paskelbiu tiek daug variantų (nors ne visi man pasiteisino), nes mano pažįstamas nusipirko skaitmeninį fotoaparatą a internetinės parduotuvės technologijos produktų Čilėje, jis prisiminė tą scenarijų spy-usb.sh kad prieš kurį laiką aš čia paaiškinauPrisimenu, jis naudojamas šnipinėti USB įrenginius ir pavogti iš jų informaciją) ir jis manęs paklausė, ar yra kokių nors būdų užkirsti kelią informacijos pavogimui iš jo naujojo fotoaparato, ar bent jau kokių nors galimybių užblokuoti USB įrenginius jo namų kompiuteryje.
Bet kokiu atveju, nors tai nėra jūsų fotoaparato apsauga nuo visų kompiuterių, kuriuose galite jį prijungti, bent jau jis galės apsaugoti namų kompiuterį nuo slaptos informacijos pašalinimo per USB įrenginius.
Tikiuosi, kad tai buvo (kaip visada) jums naudinga, jei kas nors žino kokį nors kitą būdą, kaip atmesti prieigą prie USB sistemoje „Linux“ ir, žinoma, tai veikia be problemų, praneškite mums.
Kitas galimas būdas išvengti USB atminties įrengimo gali būti pakeisti udev taisykles http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, modifikuojant taisyklę, kad tik root galėtų prijungti usb_storage įrenginius, manau, kad tai bus „išgalvotas“ būdas. Cheers
„Debian“ wiki sakoma, kad nereikia blokuoti modulių tiesiai /etc/modprobe.d/blacklist (.conf) faile, bet nepriklausomame, kuris baigiasi .conf: https://wiki.debian.org/KernelModuleBlacklisting . Aš nežinau, ar „Arch“ dalykas yra kitoks, bet neišbandžius USB kompiuterio kompiuteryje, jis veikia taip, pavyzdžiui, su kamene ir pcpkr.
Ir aš manau, kad Archas naudoja tą patį metodą, tiesa? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
Manau, kad geresnis variantas keičiant leidimus būtų sukurti specialią / media grupę, pvz., „Pendrive“, priskirti tą grupę / media ir suteikti leidimus 770, kad galėtume kontroliuoti, kas gali naudoti tai, kas yra pritvirtinta prie / media įtraukdamas vartotoją į grupę «pendrive», tikiuosi, kad supratai 🙂
Sveiki, KZKG ^ Gaara, šiuo atveju galime naudoti „policykit“. Tokiu būdu mes pasiektume, kad įkišdami USB įrenginį sistema paprašytų autentifikuoti kaip vartotoją ar root prieš jį prijungiant.
Turiu keletą pastabų, kaip aš tai padariau, sekmadienio rytą paskelbiu.
Sveikinimai.
Suteikti pranešimo apie politikos rinkinio naudojimą tęstinumą ir atsižvelgiant į tai, kad šiuo metu negaliu paskelbti (manau dėl pakeitimų, įvykusių Desdelinux Naudokime Linux) Palieku jums, kaip dariau, kad vartotojai negalėtų prijungti savo USB įrenginių. Tai naudojant Debian 7.6 su Gnome 3.4.2
1.- Atidarykite failą /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2.- Mes ieškome skyriaus «»
3.- Mes keičiame taip:
"Ir tai yra"
pagal:
„Auth_admin“
Paruošta !! tam reikės autentifikuoti kaip root, kai bandote prijungti USB įrenginį.
Nuorodos:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
Sveikinimai.
2 žingsnyje nesuprantu, kuriame skyriuje turite galvoje „Aš esu pradedantysis“.
Ačiū už pagalbą.
Kitas metodas: prie branduolio įkrovos komandinės eilutės pridėkite parinktį „nousb“, kuri apima grub arba lilo konfigūracijos failo redagavimą.
nousb - išjunkite USB posistemį.
Jei ši parinktis yra, USB posistemis nebus inicijuojamas.
Kaip nepamiršti, kad tik pagrindinis vartotojas turi leidimus prijungti USB įrenginius, o kiti vartotojai neturi.
Ačiū.
Kaip nepamiršti, kad „non-the-box“ distros (pvz., Tas, kurį naudojate) automatiškai prijungia USB įrenginius - „Unity“, „Gnome“ arba „KDE“ ... naudodami „policykit“ arba „dbus“, nes juos montuoja sistema, ne vartotojas.
Nieko 😉
Ir jei noriu atšaukti
sudo chmod 700 / media /
Ką turėčiau įdėti į terminalą, kad galėčiau atgauti prieigą prie USB?
Gracias
Tai neveikia, jei mobilųjį telefoną prijungiate USB kabeliu.
sudo chmod 777 / media / iš naujo įjungti.
Sveikinimai.
Tai neįmanoma. Jie turėtų prijungti USB tik kitame kataloge nei / laikmena.
Jei USB modulio išjungimas jums nepadeda, turėtumėte pamatyti, kuris modulis naudojamas jūsų USB prievadams. galbūt jūs išjungiate ne tą.
Neabejotinai lengviausias būdas, jau kurį laiką ieškojau ir niekaip negalėjau pagalvoti apie tą, kuris buvo man po nosimi. Labai ačiū
Tikrai lengviausias būdas. Jau kurį laiką ieškojau ir negalėjau pagalvoti apie tą, kuris buvo tiesiai po nosimi. Labai ačiū