Begrens bruken av USB-enheter i Linux

De som jobber med brukere på institusjoner som krever visse begrensninger, enten for å garantere et sikkerhetsnivå, eller ved en ide eller bestilling "ovenfra" (som vi sier her), må ofte implementere noen tilgangsbegrensninger på datamaskiner, her er jeg vil snakke spesielt om å begrense eller kontrollere tilgangen til USB-lagringsenheter.

Begrens USB ved hjelp av modprobe (fungerte ikke for meg)

Dette er ikke akkurat en ny praksis, det består i å legge usb_storage-modulen til svartelisten over kjernemodulene som er lastet, det ville være:

ekko usb_storage> $ HJEM / svarteliste sudo mv $ HJEM / svarteliste /etc/modprobe.d/

Så starter vi datamaskinen på nytt og det er det.

Avklare at selv om alle deler dette alternativet som den mest effektive løsningen, fungerte det ikke i min Arch

Deaktiver USB ved å fjerne kjernedriveren (fungerte ikke for meg)

Et annet alternativ ville være å fjerne USB-driveren fra kjernen, for dette utfører vi følgende kommando:

sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/

Vi starter på nytt og er klare.

Dette vil flytte filen som inneholder USB-driverne som brukes av kjernen til en annen mappe (/ root /).

Hvis du vil angre denne endringen, vil det være nok med:

sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/

Denne måten fungerte ikke for meg heller, av en eller annen grunn fortsatte USB-ene å fungere for meg.

Begrens tilgang til USB-enheter ved å endre / media / tillatelser (HVIS det fungerte for meg)

Dette er så langt metoden som absolutt fungerer for meg. Som du burde vite, er USB-enheter montert på / media / o ... hvis distroen bruker systemd, er de montert på / kjør / media /

Det vi skal gjøre er å endre tillatelsene til / media / (eller / run / media /) slik at KUN rotbrukeren kan få tilgang til innholdet, for dette vil det være nok:

sudo chmod 700 /media/

eller ... hvis du bruker Arch eller en hvilken som helst distro med systemd:

sudo chmod 700 /run/media/

Selvfølgelig må de ta hensyn til at bare rotbrukeren har tillatelse til å montere USB-enheter, for da kan brukeren montere USB i en annen mappe og omgå vår begrensning.

Når dette er gjort vil USB-enhetene når de er koblet til monteres, men ingen varsler vises for brukeren, og de vil heller ikke kunne få direkte tilgang til mappen eller noe annet.

Slutten!

Det er noen andre måter som er forklart på nettet, for eksempel å bruke Grub ... men, gjett hva, det fungerte ikke for meg heller 🙂

Jeg legger ut så mange alternativer (selv om ikke alle fungerte for meg) fordi en bekjent av meg kjøpte et digitalkamera på en nettbutikkteknologiske produkter i Chile, husket han det manuset spy-usb.sh det for en stund siden forklarte jeg herJeg husker at det tjener til å spionere på USB-enheter og stjele informasjon fra disse) og spurte meg om det var noen måte å forhindre at informasjon ble stjålet fra det nye kameraet hans, eller i det minste noe alternativ for å blokkere USB-enheter på hjemmedatamaskinen.

Uansett, selv om dette ikke er en beskyttelse for kameraet ditt mot alle datamaskinene du kan koble det til, vil det i det minste være i stand til å beskytte hjemme-PC-en mot fjerning av sensitiv informasjon via USB-enheter.

Jeg håper det har vært (som alltid) nyttig for deg, hvis noen vet om noen annen metode for å nekte tilgang til USB i Linux, og selvfølgelig fungerer det uten problemer, gi oss beskjed.

16 kommentarer, legg igjen dine

Legg igjen kommentaren Avbryt svar

snkisuke sa
hace 10 år

En annen mulig måte å forhindre montering av USB-lagring på kan være ved å endre reglene i udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, ved å endre regelen slik at bare root kan montere usb_storage-enheter, tror jeg det vil være en "fancy" måte. Jubel

Svar på SnKisuke
otakulogan sa
hace 10 år

I Debian-wikien sier de ikke å blokkere moduler direkte i /etc/modprobe.d/blacklist (.conf) -filen, men i en uavhengig som ender på .conf: https://wiki.debian.org/KernelModuleBlacklisting . Jeg vet ikke om ting er annerledes i Arch, men uten å ha prøvd det på USB-er på datamaskinen min, fungerer det slik med for eksempel humle og pcspkr.

Svar på OtakuLogan
1. otakulogan sa
  hace 10 år
  
  Og jeg tror Arch bruker den samme metoden, ikke sant? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
  
  Svar på OtakuLogan
rudamacho sa
hace 10 år

Jeg tror at et bedre alternativ ved å endre tillatelser ville være å opprette en bestemt gruppe for / media, for eksempel "pendrive", tilordne den gruppen til / media og gi tillatelser 770, slik at vi kunne kontrollere hvem som kan bruke det som er montert på / media ved å legge brukeren til gruppen «pendrive», håper jeg du har forstått 🙂

Svar på rudamacho
iskalotl sa
hace 10 år

Hei, KZKG ^ Gaara, for dette tilfellet kan vi bruke policykit, med dette ville vi oppnå at når vi setter inn en USB-enhet, ber systemet oss om å godkjenne som bruker eller root før den monteres.
Jeg har noen notater om hvordan jeg gjorde det, i løpet av søndag morgen legger jeg ut det.

Hilsener.

Svar på izkalotl
iskalotl sa
hace 10 år

Gi kontinuitet til meldingen om bruk av policykit og gitt at jeg for øyeblikket ikke har vært i stand til å legge ut (jeg antar på grunn av endringene som har skjedd i Desdelinux Let's UseLinux) Jeg forteller deg hvordan jeg gjorde for å hindre brukere i å montere USB-enhetene sine. Dette under Debian 7.6 med Gnome 3.4.2

1. - Åpne filen /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2.- Vi ser etter seksjonen «»
3.- Vi endrer følgende:

"Og det er"

by:

"Auth_admin"

Klar!! Dette krever at du godkjenner som root når du prøver å montere en USB-enhet.

referanser:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/

Hilsener.

Svar på izkalotl
1. raidel celma sa
  hace 10 år
  
  I trinn 2 forstår jeg ikke hvilket avsnitt du mener "Jeg er nybegynner."
  
  Takk for hjelpen.
  
  Svar til Raidel celma
dette navnet er falskt sa
hace 10 år

En annen metode: legg til "nousb" -alternativet til kommandolinjen til kjernestart, som innebærer redigering av grub- eller lilo-konfigurasjonsfilen.

nousb - Deaktiver USB-delsystemet.
Hvis dette alternativet er til stede, vil ikke USB-delsystemet initialiseres.

Svar på dette navnet er falsk
raidel celma sa
hace 10 år

Hvordan huske at bare rotbrukeren har tillatelse til å montere USB-enheter, og de andre brukerne ikke har.

Takk.

Svar til Raidel celma
1. KZKG ^ Gaara sa
  hace 10 år
  
  Hvordan huske at distribusjoner utenfor boksen (som den du bruker) automatisk monterer USB-enheter, enten Unity, Gnome eller KDE ... enten ved hjelp av policykit eller dbus, fordi det er systemet som monterer dem, ikke brukeren.
  
  For ingenting 😉
  
  Svar på KZKG ^ Gaara
Victor sa
hace 9 år

Og hvis jeg vil avbryte effekten av
sudo chmod 700 / mener /

Hva skal jeg legge i terminalen for å få tilgang til USB igjen?

takk

Svar til Victor
anonym sa
hace 6 år

Det fungerer ikke hvis du kobler mobilen din med en USB-kabel.

Svar til brukeren
ruyzz sa
hace 6 år

sudo chmod 777 / media / for å aktivere på nytt.

Hilsener.

Svar på ruyzz
Maurel reyes sa
hace 3 år

Dette er ikke gjennomførbart. De skal bare montere USB -en i en annen katalog enn / media.

Hvis deaktivering av USB -modulen ikke fungerer for deg, bør du se hvilken modul som brukes til USB -portene. kanskje du deaktiverer feil.

Svar til Maurel Reyes
John Ferrer sa
hace 1 år

Definitivt den enkleste måten, jeg har lett etter en en stund og jeg kunne ikke tenke på den som var under nesen min. Tusen takk

Svar til John Ferrer
John Ferrer sa
hace 1 år

Definitivt den enkleste måten. Jeg har lett etter en en stund, og jeg kunne ikke komme på den som var rett under nesen min. Tusen takk

Svar til John Ferrer