Begrens bruken av USB-enheter i Linux

De som jobber med brukere på institusjoner som krever visse begrensninger, enten for å garantere et sikkerhetsnivå, eller ved en ide eller bestilling "ovenfra" (som vi sier her), må ofte implementere noen tilgangsbegrensninger på datamaskiner, her er jeg vil snakke spesielt om å begrense eller kontrollere tilgangen til USB-lagringsenheter.

Begrens USB ved hjelp av modprobe (fungerte ikke for meg)

Dette er ikke akkurat en ny praksis, det består i å legge usb_storage-modulen til svartelisten over kjernemodulene som er lastet, det ville være:

ekko usb_storage> $ HJEM / svarteliste sudo mv $ HJEM / svarteliste /etc/modprobe.d/

Så starter vi datamaskinen på nytt og det er det.

Avklare at selv om alle deler dette alternativet som den mest effektive løsningen, fungerte det ikke i min Arch

Deaktiver USB ved å fjerne kjernedriveren (fungerte ikke for meg)

Et annet alternativ ville være å fjerne USB-driveren fra kjernen, for dette utfører vi følgende kommando:

sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/

Vi starter på nytt og er klare.

Dette vil flytte filen som inneholder USB-driverne som brukes av kjernen til en annen mappe (/ root /).

Hvis du vil angre denne endringen, vil det være nok med:

sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/

Denne måten fungerte ikke for meg heller, av en eller annen grunn fortsatte USB-ene å fungere for meg.

Begrens tilgang til USB-enheter ved å endre / media / tillatelser (HVIS det fungerte for meg)

Dette er så langt metoden som absolutt fungerer for meg. Som du burde vite, er USB-enheter montert på / media / o ... hvis distroen bruker systemd, er de montert på / kjør / media /

Det vi skal gjøre er å endre tillatelsene til / media / (eller / run / media /) slik at KUN rotbrukeren kan få tilgang til innholdet, for dette vil det være nok:

sudo chmod 700 /media/

eller ... hvis du bruker Arch eller en hvilken som helst distro med systemd:

sudo chmod 700 /run/media/

Selvfølgelig må de ta hensyn til at bare rotbrukeren har tillatelse til å montere USB-enheter, for da kan brukeren montere USB i en annen mappe og omgå vår begrensning.

Når dette er gjort vil USB-enhetene når de er koblet til monteres, men ingen varsler vises for brukeren, og de vil heller ikke kunne få direkte tilgang til mappen eller noe annet.

Slutten!

Det er noen andre måter som er forklart på nettet, for eksempel å bruke Grub ... men, gjett hva, det fungerte ikke for meg heller 🙂

Jeg legger ut så mange alternativer (selv om ikke alle fungerte for meg) fordi en bekjent av meg kjøpte et digitalkamera på en nettbutikkteknologiske produkter i Chile, husket han det manuset spy-usb.sh det for en stund siden forklarte jeg herJeg husker at det tjener til å spionere på USB-enheter og stjele informasjon fra disse) og spurte meg om det var noen måte å forhindre at informasjon ble stjålet fra det nye kameraet hans, eller i det minste noe alternativ for å blokkere USB-enheter på hjemmedatamaskinen.

Uansett, selv om dette ikke er en beskyttelse for kameraet ditt mot alle datamaskinene du kan koble det til, vil det i det minste være i stand til å beskytte hjemme-PC-en mot fjerning av sensitiv informasjon via USB-enheter.

Jeg håper det har vært (som alltid) nyttig for deg, hvis noen vet om noen annen metode for å nekte tilgang til USB i Linux, og selvfølgelig fungerer det uten problemer, gi oss beskjed.


Innholdet i artikkelen følger våre prinsipper for redaksjonell etikk. Klikk på for å rapportere en feil her.

14 kommentarer, legg igjen dine

Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.

  1.   SnKisuke sa

    En annen mulig måte å forhindre montering av USB-lagring på kan være ved å endre reglene i udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, ved å endre regelen slik at bare root kan montere usb_storage-enheter, tror jeg det vil være en "fancy" måte. Jubel

  2.   OtakuLogan sa

    I Debian-wikien sier de ikke å blokkere moduler direkte i /etc/modprobe.d/blacklist (.conf) -filen, men i en uavhengig som ender på .conf: https://wiki.debian.org/KernelModuleBlacklisting . Jeg vet ikke om ting er annerledes i Arch, men uten å ha prøvd det på USB-er på datamaskinen min, fungerer det slik med for eksempel humle og pcspkr.

    1.    OtakuLogan sa

      Og jeg tror Arch bruker den samme metoden, ikke sant? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .

  3.   rudamacho sa

    Jeg tror at et bedre alternativ ved å endre tillatelser ville være å opprette en bestemt gruppe for / media, for eksempel "pendrive", tilordne den gruppen til / media og gi tillatelser 770, slik at vi kunne kontrollere hvem som kan bruke det som er montert på / media ved å legge brukeren til gruppen «pendrive», håper jeg du har forstått 🙂

  4.   izkalotl sa

    Hei, KZKG ^ Gaara, for dette tilfellet kan vi bruke policykit, med dette ville vi oppnå at når vi setter inn en USB-enhet, ber systemet oss om å godkjenne som bruker eller root før den monteres.
    Jeg har noen notater om hvordan jeg gjorde det, i løpet av søndag morgen legger jeg ut det.

    Hilsener.

  5.   izkalotl sa

    Gi kontinuitet til meldingen om bruk av policykit og med tanke på at jeg for øyeblikket ikke har vært i stand til å poste (jeg antar at på grunn av endringene som skjedde i Desdelinux UsemosLinux), lar jeg deg være som jeg gjorde for å forhindre brukere fra å montere USB-enhetene sine. Dette under Debian 7.6 med Gnome 3.4.2

    1. - Åpne filen /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
    2.- Vi ser etter seksjonen «»
    3.- Vi endrer følgende:

    "Og det er"

    by:

    "Auth_admin"

    Klar!! Dette krever at du godkjenner som root når du prøver å montere en USB-enhet.

    referanser:
    http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
    http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
    http://lwn.net/Articles/258592/

    Hilsener.

    1.    Raidel celma sa

      I trinn 2 forstår jeg ikke hvilket avsnitt du mener "Jeg er nybegynner."

      Takk for hjelpen.

  6.   dette navnet er falskt sa

    En annen metode: legg til "nousb" -alternativet til kommandolinjen til kjernestart, som innebærer redigering av grub- eller lilo-konfigurasjonsfilen.

    nousb - Deaktiver USB-delsystemet.
    Hvis dette alternativet er til stede, vil ikke USB-delsystemet initialiseres.

  7.   Raidel celma sa

    Hvordan huske at bare rotbrukeren har tillatelse til å montere USB-enheter, og de andre brukerne ikke har.

    Takk.

    1.    KZKG ^ Gaara sa

      Hvordan huske at distribusjoner utenfor boksen (som den du bruker) automatisk monterer USB-enheter, enten Unity, Gnome eller KDE ... enten ved hjelp av policykit eller dbus, fordi det er systemet som monterer dem, ikke brukeren.

      For ingenting 😉

  8.   Victor sa

    Og hvis jeg vil avbryte effekten av
    sudo chmod 700 / mener /

    Hva skal jeg legge i terminalen for å få tilgang til USB igjen?

    takk

  9.   anonym sa

    Det fungerer ikke hvis du kobler mobilen din med en USB-kabel.

  10.   ruyzz sa

    sudo chmod 777 / media / for å aktivere på nytt.

    Hilsener.

  11.   Maurel reyes sa

    Dette er ikke gjennomførbart. De skal bare montere USB -en i en annen katalog enn / media.

    Hvis deaktivering av USB -modulen ikke fungerer for deg, bør du se hvilken modul som brukes til USB -portene. kanskje du deaktiverer feil.