Degenen die werken met gebruikers in instellingen die bepaalde beperkingen vereisen, hetzij om een beveiligingsniveau te garanderen, of door een idee of bestelling "van bovenaf" (zoals we hier zeggen), moeten hier vaak enkele toegangsbeperkingen op computers implementeren Ik zal specifiek ingaan op het beperken of beheren van toegang tot USB-opslagapparaten.
Beperk USB met modprobe (werkte niet voor mij)
Dit is niet bepaald een nieuwe praktijk, het bestaat uit het toevoegen van de module usb_storage aan de zwarte lijst van de kernelmodules die worden geladen, het zou zijn:
echo usb_storage> $ HOME / blacklist sudo mv $ HOME / blacklist /etc/modprobe.d/
Daarna herstarten we de computer en dat is alles.
Schakel USB uit door de kerneldriver te verwijderen (werkte niet voor mij)
Een andere optie zou zijn om het USB-stuurprogramma uit de kernel te verwijderen, hiervoor voeren we het volgende commando uit:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
We herstarten en klaar.
Hierdoor wordt het bestand met de USB-stuurprogramma's die door de kernel worden gebruikt, naar een andere map (/ root /) verplaatst.
Als u deze wijziging ongedaan wilt maken, is dit voldoende met:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
Beperk de toegang tot USB-apparaten door / media / permissies te wijzigen (ALS het voor mij werkte)
Dit is tot dusver de methode die zeker voor mij werkt. Zoals je zou moeten weten, zijn USB-apparaten aangekoppeld op / media / o ... als je distro systemd gebruikt, zijn ze aangekoppeld op / run / media /
Wat we zullen doen is de permissies naar / media / (of / run / media /) wijzigen zodat ALLEEN de rootgebruiker toegang heeft tot de inhoud, hiervoor is het voldoende:
sudo chmod 700 /media/
of ... als je Arch of een distro met systemd gebruikt:
sudo chmod 700 /run/media/
Zodra dit is gebeurd, worden de USB-apparaten die zijn aangesloten, aangekoppeld, maar de gebruiker krijgt geen melding en ze hebben ook geen directe toegang tot de map of iets anders.
Het einde!
Er zijn een aantal andere manieren uitgelegd op het net, bijvoorbeeld door Grub te gebruiken ... maar wat denk je, het werkte ook niet voor mij 🙂
Ik post zoveel opties (hoewel ze niet allemaal voor mij werkten) omdat een kennis van mij een digitale camera kocht bij een online winkel technologieproducten in Chili, herinnerde zich dat script spion-usb.sh dat heb ik hier een tijdje geleden uitgelegdIk herinner me dat het dient om USB-apparaten te bespioneren en informatie hiervan te stelen) en vroeg me of er een manier was om te voorkomen dat informatie van zijn nieuwe camera werd gestolen, of op zijn minst een optie om USB-apparaten op zijn thuiscomputer te blokkeren.
Hoe dan ook, hoewel dit geen bescherming is voor uw camera tegen alle computers waarop u hem kunt aansluiten, zal hij in ieder geval de thuis-pc kunnen beschermen tegen het verwijderen van gevoelige informatie via USB-apparaten.
Ik hoop dat het (zoals altijd) nuttig voor je is geweest, laat het ons weten als iemand een andere methode kent om de toegang tot USB in Linux te ontzeggen en het werkt natuurlijk zonder problemen.
Een andere mogelijke manier om het monteren van een usb-opslag te voorkomen, is door de regels in udev te wijzigen http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, door de regel aan te passen zodat alleen root usb_storage-apparaten kan mounten, denk ik dat het een "mooie" manier zal zijn. Proost
In de Debian-wiki zeggen ze dat ze modules niet rechtstreeks in het /etc/modprobe.d/blacklist (.conf) bestand moeten blokkeren, maar in een onafhankelijke die eindigt op .conf: https://wiki.debian.org/KernelModuleBlacklisting . Ik weet niet of het anders is in Arch, maar zonder het op USB's op mijn computer geprobeerd te hebben, werkt het zo met bijvoorbeeld hommel en pcspkr.
En ik denk dat Arch dezelfde methode gebruikt, toch? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
Ik denk dat een betere optie door het wijzigen van de rechten zou zijn om een specifieke groep voor / media aan te maken, bijvoorbeeld "pendrive", die groep toe te wijzen aan / media en machtigingen 770 te geven, zodat we kunnen bepalen wie kan gebruiken wat op / media is aangekoppeld door de gebruiker toe te voegen aan de groep «pendrive», ik hoop dat je het begrepen hebt 🙂
Hallo, KZKG ^ Gaara, in dit geval kunnen we policykit gebruiken, hiermee zouden we bereiken dat bij het plaatsen van een USB-apparaat het systeem ons vraagt om te authenticeren als gebruiker of root voordat het wordt gemount.
Ik heb wat aantekeningen over hoe ik het deed, in de loop van zondagochtend post ik het.
Groeten.
Continuïteit geven aan de boodschap over het gebruik van policykit en gezien het feit dat ik op dit moment geen berichten heb kunnen plaatsen (ik veronderstel dat dit te wijten is aan de veranderingen die hebben plaatsgevonden in Desdelinux Laten we Linux gebruiken) Ik laat je zien hoe ik deed om te voorkomen dat gebruikers hun USB-apparaten mounten. Dit onder Debian 7.6 met Gnome 3.4.2
1.- Open het bestand /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2.- We zoeken naar de sectie «»
3.- We veranderen het volgende:
"En het is"
door:
"Auth_admin"
Klaar!! dit vereist dat u zich als root authenticeert wanneer u een USB-apparaat probeert te koppelen.
referenties:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
Groeten.
In stap 2 begrijp ik niet welke sectie u bedoelt "Ik ben een beginner".
bedankt voor de hulp.
Een andere methode: voeg de "nousb" -optie toe aan de opstartopdrachtregel van de kernel, wat inhoudt dat je het grub- of lilo-configuratiebestand moet bewerken.
nousb - Schakel het USB-subsysteem uit.
Als deze optie aanwezig is, wordt het USB-subsysteem niet geïnitialiseerd.
Houd er rekening mee dat alleen de rootgebruiker toestemming heeft om USB-apparaten te koppelen en de andere gebruikers niet.
Dank u.
Onthoud dat out-of-the-box distro's (zoals degene die je gebruikt) automatisch USB-apparaten aankoppelen, ofwel Unity, Gnome of KDE ... ofwel met policykit of dbus, omdat het het systeem is dat ze koppelt, niet de gebruiker.
Voor niets 😉
En als ik het effect van wil annuleren
sudo chmod 700 / media /
Wat moet ik in de terminal stoppen om weer toegang te krijgen tot de USB?
bedankt
Dat lukt niet als je je gsm met een usb-kabel aansluit.
sudo chmod 777 / media / om opnieuw in te schakelen.
Groeten.
Dit is niet haalbaar. Ze mogen de USB alleen in een andere map dan / media aankoppelen.
Als het uitschakelen van de USB-module niet voor u werkt, moet u kijken welke module voor uw USB-poorten wordt gebruikt. misschien schakel je de verkeerde uit.
Absoluut de gemakkelijkste manier, ik was er al een tijdje naar op zoek en ik kon niet bedenken wat er onder mijn neus zat. Heel erg bedankt
Absoluut de gemakkelijkste manier. Ik ben er al een tijdje naar op zoek en ik kon niet bedenken welke recht onder mijn neus lag. Heel erg bedankt