Hadkan penggunaan peranti USB di Linux

Mereka yang bekerja dengan pengguna di institusi yang memerlukan sekatan tertentu, sama ada untuk menjamin tahap keselamatan, atau dengan beberapa idea atau pesanan "dari atas" (seperti yang kita katakan di sini), berkali-kali perlu melaksanakan beberapa sekatan akses pada komputer, di sini saya akan membincangkan secara khusus mengenai menyekat atau mengawal akses ke peranti storan USB.

Hadkan USB menggunakan modprobe (tidak berfungsi untuk saya)

Ini bukan praktik baru, ia terdiri daripada menambahkan modul usb_storage ke senarai hitam modul kernel yang dimuat, seperti:

echo usb_storage> $ HOME / senarai hitam sudo mv $ HOME / senarai hitam /etc/modprobe.d/

Kemudian kami mulakan semula komputer dan itu sahaja.

Jelaskan bahawa walaupun semua orang berkongsi alternatif ini sebagai penyelesaian yang paling berkesan, di Arch saya ia tidak berjaya bagi saya

Lumpuhkan USB dengan membuang pemacu kernel (tidak berfungsi untuk saya)

Pilihan lain adalah dengan membuang pemacu USB dari kernel, untuk ini kami melaksanakan perintah berikut:

sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/

Kami but semula dan bersedia.

Ini akan memindahkan fail yang mengandungi pemacu USB yang digunakan oleh kernel ke folder lain (/ root /).

Sekiranya anda ingin membuat asal perubahan ini, itu akan cukup dengan:

sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/

Cara ini juga tidak berfungsi untuk saya, kerana beberapa sebab USB tetap berfungsi untuk saya.

Mengehadkan akses ke peranti USB dengan menukar / media / kebenaran (JIKA ia berfungsi untuk saya)

Setakat ini kaedah yang pasti berkesan bagi saya. Seperti yang anda ketahui, peranti USB dipasang di / media / o ... jika distro anda menggunakan systemd, ia dipasang pada / run / media /

Apa yang akan kami lakukan adalah mengubah izin ke / media / (atau / run / media /) sehingga HANYA pengguna root dapat mengakses kandungannya, untuk ini cukup:

sudo chmod 700 /media/

atau ... jika anda menggunakan Arch atau distro apa pun dengan systemd:

sudo chmod 700 /run/media/

Sudah tentu, mereka mesti mengambil kira bahawa hanya pengguna root yang memiliki izin untuk memasang peranti USB, kerana ketika itu pengguna dapat memasang USB di folder lain dan menghindari batasan kami.

Setelah ini selesai, peranti USB ketika disambungkan akan dipasang, tetapi tidak ada pemberitahuan yang muncul kepada pengguna, dan mereka juga tidak dapat mengakses folder atau apa pun secara langsung.

Tamat!

Terdapat beberapa cara lain yang dijelaskan di internet, misalnya menggunakan Grub ... tetapi, kira apa, ia juga tidak berfungsi untuk saya 🙂

Saya menghantar begitu banyak pilihan (walaupun tidak semuanya berfungsi untuk saya) kerana seorang kenalan saya membeli kamera digital di produk teknologi kedai dalam talian di Chile, dia ingat skrip itu spy-usb.sh bahawa beberapa ketika yang lalu saya menerangkan di siniSaya ingat, ia berfungsi untuk mengintip peranti USB dan mencuri maklumat dari ini) dan bertanya kepada saya apakah ada cara untuk mengelakkan maklumat dicuri dari kamera barunya, atau sekurang-kurangnya beberapa pilihan untuk menyekat peranti USB di komputer rumahnya.

Bagaimanapun, walaupun ini bukan perlindungan untuk kamera anda dari semua komputer di mana anda boleh menyambungkannya, sekurang-kurangnya ia dapat melindungi PC rumah dari penghapusan maklumat sensitif melalui peranti USB.

Saya harap telah (seperti biasa) berguna, jika ada yang mengetahui kaedah lain untuk menolak akses ke USB di Linux dan tentu saja, ia berfungsi tanpa masalah, beri tahu kami.


Kandungan artikel mematuhi prinsip kami etika editorial. Untuk melaporkan ralat, klik di sini.

16 komen, tinggalkan komen anda

Tinggalkan komen anda

Alamat email anda tidak akan disiarkan.

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.

  1.   snkisuke kata

    Cara lain yang mungkin untuk mencegah pemasangan storan usb adalah dengan mengubah peraturan di udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, dengan mengubah peraturan supaya hanya root yang dapat memasang peranti usb_storage, saya rasa ia akan menjadi cara yang "mewah". Sorakan

  2.   otakulogan kata

    Dalam wiki Debian mereka mengatakan untuk tidak menyekat modul secara langsung dalam fail /etc/modprobe.d/blacklist (.conf), tetapi dalam fail bebas yang berakhir dengan .conf: https://wiki.debian.org/KernelModuleBlacklisting . Saya tidak tahu apakah perkara itu berbeza dalam Arch, tetapi tanpa mencubanya pada USB di komputer saya, ia berfungsi seperti ini, misalnya, dengan bumblebee dan pcspkr.

    1.    otakulogan kata

      Dan saya rasa Arch menggunakan kaedah yang sama, bukan? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .

  3.   rudamacho kata

    Saya rasa pilihan yang lebih baik dengan menukar izin adalah dengan membuat kumpulan tertentu untuk / media, misalnya "pendrive", menetapkan kumpulan itu ke / media dan memberikan izin 770, sehingga kita dapat mengawal siapa yang dapat menggunakan apa yang dipasang pada / media dengan menambahkan pengguna ke kumpulan «pendrive», saya harap anda telah memahami 🙂

  4.   iskalotl kata

    Halo, KZKG ^ Gaara, untuk kes ini kita dapat menggunakankit kebijakan, dengan ini kita akan dapat mencapai itu ketika memasukkan peranti USB sistem meminta kita mengesahkan sebagai pengguna atau root sebelum memasangnya.
    Saya mempunyai beberapa catatan mengenai bagaimana saya melakukannya, semasa pagi Ahad saya menyiarkannya.

    Greetings.

  5.   iskalotl kata

    Memberi kesinambungan kepada mesej mengenai penggunaankit kebijakan dan memandangkan pada masa ini saya tidak dapat mengeposkan (saya rasa bahawa kerana perubahan yang berlaku di Desdelinux UsemosLinux) saya meninggalkan anda seperti yang saya lakukan untuk mengelakkan pengguna memasang peranti USB mereka. Ini di bawah Debian 7.6 dengan Gnome 3.4.2

    1.- Buka fail /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
    2.- Kami mencari bahagian «»
    3.- Kami mengubah perkara berikut:

    "Dan itu"

    oleh:

    "Auth_admin"

    Sedia !! ini memerlukan anda mengesahkan sebagai root semasa cuba memasang peranti USB.

    Rujukan:
    http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
    http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
    http://lwn.net/Articles/258592/

    Greetings.

    1.    raidel celma kata

      Pada langkah 2 saya tidak faham bahagian mana yang anda maksudkan "Saya seorang pemula."

      Terima kasih atas pertolongan.

  6.   nama ini tidak betul kata

    Kaedah lain: tambahkan pilihan "nousb" ke baris perintah boot kernel, yang melibatkan penyuntingan file konfigurasi grub atau lilo.

    nousb - Lumpuhkan subsistem USB.
    Sekiranya pilihan ini ada, subsistem USB tidak akan dimulakan.

  7.   raidel celma kata

    Bagaimana untuk diingat bahawa hanya pengguna root yang mempunyai izin untuk memasang peranti USB dan pengguna lain tidak.

    Terima kasih.

    1.    KZKG ^ Gaara kata

      Bagaimana untuk diingat bahawa distro luar kotak (seperti yang anda gunakan) memasang peranti USB secara automatik, sama ada Unity, Gnome atau KDE ... sama ada menggunakankitkit atau dbus, kerana sistem yang memasangnya, bukan pengguna.

      Tiada apa 😉

  8.   Victor kata

    Dan jika saya ingin membatalkan kesan
    sudo chmod 700 / media /

    Apa yang perlu saya masukkan ke terminal untuk mendapatkan semula akses ke USB?

    terima kasih

  9.   Anonymous kata

    Itu tidak akan berfungsi jika anda menyambungkan telefon bimbit anda dengan kabel USB.

  10.   ruyzz kata

    sudo chmod 777 / media / untuk mendayakan semula.

    Greetings.

  11.   Maurel reyes kata

    Ini tidak boleh dilaksanakan. Mereka hanya perlu memasang USB dalam direktori selain / media.

    Sekiranya mematikan modul USB tidak berfungsi untuk anda, anda harus melihat modul mana yang digunakan untuk port USB anda. mungkin anda melumpuhkan yang salah.

  12.   John Ferrer kata

    Sudah tentu cara yang paling mudah, saya telah mencari satu untuk seketika dan saya tidak dapat memikirkan yang berada di bawah hidung saya. Terima kasih banyak-banyak

  13.   John Ferrer kata

    Sudah tentu cara yang paling mudah. Saya telah mencari satu untuk seketika dan saya tidak dapat memikirkan yang betul-betul di bawah hidung saya. Terima kasih banyak-banyak