Ierobežojiet USB ierīču lietošanu Linux

Tiem, kas strādā ar lietotājiem iestādēs, kurās nepieciešami noteikti ierobežojumi vai nu, lai garantētu drošības līmeni, vai ar kādu ideju vai rīkojumu "no augšas" (kā mēs šeit sakām), daudzkārt ir jāievieš daži piekļuves ierobežojumi datoriem, šeit Es runāšu īpaši par piekļuves ierobežošanu vai kontrolēšanu USB atmiņas ierīcēm.

Ierobežojiet USB, izmantojot modprobe (man nedarbojās)

Šī nav gluži jauna prakse, tas sastāv no moduļa usb_storage pievienošanas ielādēto kodola moduļu melnajam sarakstam, tas būtu:

echo usb_storage> $ HOME / melnais saraksts sudo mv $ HOME / melnais saraksts /etc/modprobe.d/

Tad mēs restartējam datoru un viss.

Precizējiet, ka, lai arī visi dala šo alternatīvu kā visefektīvāko risinājumu, manā arkā tas man nederēja

Atspējot USB, noņemot kodola draiveri (man nedarbojās)

Vēl viena iespēja būtu noņemt USB draiveri no kodola, tāpēc mēs izpildām šādu komandu:

sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/

Mēs restartējam un esam gatavi.

Tas nozīmē, ka fails, kurā ir kodola izmantotie USB draiveri, to pārvietos uz citu mapi (/ root /).

Ja vēlaties atsaukt šīs izmaiņas, pietiek ar:

sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/

Arī šis veids man nederēja, nez kāpēc USB man turpināja darboties.

Piekļuves ierobežošana USB ierīcēm, mainot / multivides / atļaujas (ja man tas noderēja)

Šī līdz šim ir metode, kas noteikti darbojas man. Kā jums vajadzētu zināt, USB ierīces ir piestiprinātas vietnē / media / o ... ja jūsu izplatītājs izmanto systemd, tās tiek uzstādītas uz / run / media /

Ko mēs darīsim, būs mainīt atļaujas uz / media / (vai / run / media /) tā, lai TIKAI saknes lietotājs varētu piekļūt tā saturam, tāpēc ar to pietiks:

sudo chmod 700 /media/

vai ... ja ar systemd izmantojat Arch vai jebkuru distro:

sudo chmod 700 /run/media/

Protams, viņiem ir jāņem vērā, ka tikai sakņu lietotājam ir atļaujas pievienot USB ierīces, jo tad lietotājs varētu USB ievietot citā mapē un apiet mūsu ierobežojumu.

Kad tas būs izdarīts, pievienotās USB ierīces tiks piestiprinātas, taču lietotājam netiks parādīts paziņojums, kā arī viņi nevarēs tieši piekļūt mapei vai jebkuram citam.

Beigas!

Tīklā ir daži citi veidi, piemēram, Grub izmantošana ... bet, uzminiet, tas arī man nederēja 🙂

Es ievietoju tik daudz iespēju (kaut arī ne visas man derēja), jo mans paziņa nopirka digitālo fotokameru a interneta veikala tehnoloģiju produkti Čīlē, viņš atcerējās šo scenāriju spy-usb.sh ka pirms kāda laika es šeit paskaidrojuEs atceros, tas kalpo, lai izspiegotu USB ierīces un nozagtu no tām informāciju) un viņš man jautāja, vai ir kāds veids, kā novērst informācijas nozagšanu no viņa jaunās kameras vai vismaz kādu iespēju bloķēt USB ierīces viņa mājas datorā.

Jebkurā gadījumā, lai arī šī nav jūsu kameras aizsardzība pret visiem datoriem, kuros to var savienot, tā vismaz varēs aizsargāt mājas datoru no sensitīvas informācijas noņemšanas, izmantojot USB ierīces.

Es ceru, ka tas ir bijis noderīgi (kā vienmēr), ja kāds zina kādu citu metodi, kā liegt piekļuvi USB Linux, un, protams, tas darbojas bez problēmām, paziņojiet mums.


16 komentāri, atstājiet savus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   snkisuke teica

    Cits iespējamais veids, kā novērst USB krātuves uzstādīšanu, varētu būt udev noteikumu mainīšana http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, modificējot likumu tā, lai tikai root varētu pievienot usb_storage ierīces, es domāju, ka tas būs "iedomāts" veids. Priekā

  2.   OtakuLogans teica

    Debian wiki viņi saka, ka nevajag bloķēt moduļus tieši failā /etc/modprobe.d/blacklist (.conf), bet gan neatkarīgā, kas beidzas ar .conf: https://wiki.debian.org/KernelModuleBlacklisting . Es nezinu, vai Arch lietā ir savādāk, taču, neizmēģinot to USB datorā, tas darbojas šādi, piemēram, ar kameni un pcpkr.

    1.    OtakuLogans teica

      Un es domāju, ka Arch tiešām izmanto to pašu metodi, vai ne? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .

  3.   rudamacho teica

    Es domāju, ka labāks variants, mainot atļaujas, būtu izveidot īpašu grupu / media, piemēram, "pendrive", piešķirt šo grupu / media un piešķirt atļaujas 770, lai mēs varētu kontrolēt, kas var izmantot to, kas ir uzstādīts / media, pievienojot lietotāju mapei grupa «pendrive», es ceru, ka esat sapratis 🙂

  4.   iskalotl teica

    Labdien, KZKG ^ Gaara, šajā gadījumā mēs varam izmantot policykit, ar to mēs sasniegtu, ka, ievietojot USB ierīci, sistēma lūdz mums autentificēties kā lietotājam vai root pirms tās uzstādīšanas.
    Man ir dažas piezīmes par to, kā es to izdarīju, svētdienas rīta gaitā es to ievietoju.

    Sveicieni.

  5.   iskalotl teica

    Dandole continuidad al mesaje sobre usar policykit y en vista de que de momento no he podido postear (supongo que debido a los cambios sucedidos en Desdelinux UsemosLinux) te dejo como hice para evitar que usuarios monten sus dispositivos USB. Esto bajo Debian 7.6 con Gnome 3.4.2

    1.- Atveriet failu /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
    2.- Mēs meklējam sadaļu «»
    3.- Mēs mainām sekojošo:

    "Un tas ir"

    līdz:

    "Auth_admin"

    Gatavs !! lai mēģinātu uzstādīt USB ierīci, jums būs nepieciešams autentificēties kā root.

    Norādes:
    http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
    http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
    http://lwn.net/Articles/258592/

    Sveicieni.

    1.    Raidels celma teica

      2. solī es nesaprotu, kurā sadaļā jūs domājat "Es esmu iesācējs".

      Paldies par palīdzību.

  6.   šis vārds ir nepareizs teica

    Cita metode: kodola sāknēšanas komandrindai pievienojiet opciju "nousb", kas ietver grub vai lilo konfigurācijas faila rediģēšanu.

    nousb - atspējojiet USB apakšsistēmu.
    Ja šī opcija ir pieejama, USB apakšsistēma netiks inicializēta.

  7.   Raidels celma teica

    Kā paturēt prātā, ka tikai saknes lietotājam ir atļaujas pievienot USB ierīces, bet pārējiem lietotājiem nav.

    Paldies.

    1.    KZKG ^ Gaara teica

      Kā paturēt prātā, ka ārpusbiržas (piemēram, tā, kuru izmantojat) automātiski tiek pievienotas USB ierīces, gan Unity, gan Gnome, gan KDE ... vai nu izmantojot policykit, vai dbus, jo tos piestiprina sistēma, nevis lietotājs.

      Par neko 😉

  8.   uzvarētājs teica

    Un, ja es vēlos atcelt
    sudo chmod 700 / media /

    Kas man jāievieto terminālā, lai atgūtu piekļuvi USB?

    paldies

  9.   anonīms teica

    Tas nedarbojas, ja savienojat mobilo tālruni ar USB kabeli.

  10.   ruyzz teica

    sudo chmod 777 / media / lai atkārtoti iespējotu.

    Sveicieni.

  11.   Maurels Rejs teica

    Tas nav iespējams. Viņiem vajadzētu pievienot USB tikai direktorijā, kas nav / multivide.

    Ja USB moduļa atspējošana jums nedarbojas, jums vajadzētu redzēt, kurš modulis tiek izmantots jūsu USB portiem. varbūt jūs atspējojat nepareizo.

  12.   Džons Ferers teica

    Viennozīmīgi vieglākais veids, kādu jau kādu laiku meklēju un nevarēju izdomāt to, kas bija zem deguna. Liels tev paldies

  13.   Džons Ferers teica

    Noteikti vienkāršākais veids. Es kādu laiku meklēju un nevarēju iedomāties to, kas bija man tieši zem deguna. Liels tev paldies