Ci, którzy pracują z użytkownikami w instytucjach, które wymagają pewnych ograniczeń, czy to w celu zagwarantowania poziomu bezpieczeństwa, czy też przez jakiś pomysł lub rozkaz „z góry” (jak mówimy tutaj), wielokrotnie muszą wprowadzić pewne ograniczenia dostępu na komputerach, tutaj ja omówi szczególnie ograniczanie lub kontrolowanie dostępu do urządzeń pamięci masowej USB.
Ogranicz USB za pomocą modprobe (nie działa dla mnie)
Nie jest to zupełnie nowa praktyka, polega na dodaniu modułu usb_storage do czarnej listy ładowanych modułów jądra, byłoby to:
echo usb_storage> $ HOME / blacklist sudo mv $ HOME / blacklist /etc/modprobe.d/
Następnie ponownie uruchamiamy komputer i to wszystko.
Wyłącz USB, usuwając sterownik jądra (nie działa dla mnie)
Inną opcją byłoby usunięcie sterownika USB z jądra, w tym celu wykonujemy następujące polecenie:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
Restartujemy i gotowe.
Spowoduje to przeniesienie pliku zawierającego sterowniki USB używane przez jądro do innego folderu (/ root /).
Jeśli chcesz cofnąć tę zmianę, wystarczy:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
Ograniczanie dostępu do urządzeń USB poprzez zmianę / media / uprawnienia (JEŚLI to zadziałało)
Jak dotąd jest to metoda, która z pewnością działa dla mnie. Jak powinieneś wiedzieć, urządzenia USB są montowane na / media / o… jeśli twoja dystrybucja używa systemd, są montowane na / run / media /
To, co zrobimy, to zmienimy uprawnienia do / media / (lub / run / media /) tak, aby TYLKO użytkownik root miał dostęp do jego zawartości, do tego wystarczy:
sudo chmod 700 /media/
lub ... jeśli używasz Arch lub dowolnej dystrybucji z systemd:
sudo chmod 700 /run/media/
Po wykonaniu tej czynności podłączone urządzenia USB zostaną zamontowane, ale użytkownik nie otrzyma powiadomienia, ani nie będzie mógł uzyskać bezpośredniego dostępu do folderu ani czegokolwiek.
Koniec!
W sieci jest kilka innych wyjaśnień, na przykład użycie Gruba ... ale wiecie co, to też nie zadziałało dla mnie 🙂
Wrzucam tak wiele opcji (chociaż nie wszystkie z nich działały u mnie), ponieważ mój znajomy kupił aparat cyfrowy na produkty technologiczne sklepu internetowego w Chile, zapamiętał ten skrypt szpieg-usb.sh to chwilę temu wyjaśniłem tutajPamiętam, że służy do szpiegowania urządzeń USB i kradzieży z nich informacji) i zapytał mnie, czy jest jakiś sposób, aby zapobiec kradzieży informacji z jego nowego aparatu, lub przynajmniej jakąś opcję blokowania urządzeń USB w jego domowym komputerze.
Zresztą, choć nie jest to ochrona twojego aparatu przed wszystkimi komputerami, do których możesz go podłączyć, to przynajmniej będzie w stanie zabezpieczyć domowy pecet przed usunięciem poufnych informacji poprzez urządzenia USB.
Mam nadzieję, że przydało się (jak zawsze) dla Ciebie, jeśli ktoś zna inną metodę odmowy dostępu do USB w Linuksie i oczywiście działa bez problemów, daj nam znać.
Innym możliwym sposobem uniknięcia montowania pamięci USB może być zmiana reguł w udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, modyfikując regułę tak, aby tylko root mógł montować urządzenia usb_storage, myślę, że będzie to "fantazyjny" sposób. pozdrowienia
Na wiki Debiana mówi się, aby nie blokować modułów bezpośrednio w pliku /etc/modprobe.d/blacklist (.conf), ale w niezależnym, który kończy się na .conf: https://wiki.debian.org/KernelModuleBlacklisting . Nie wiem, czy w Archie jest inaczej, ale bez wypróbowania go na USB w moim komputerze działa tak, na przykład z trzmielem i pcspkr.
Myślę, że Arch używa tej samej metody, prawda? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
Myślę, że lepszą opcją poprzez zmianę uprawnień byłoby utworzenie określonej grupy dla / media, na przykład "pendrive", przypisanie tej grupy do / media i nadanie 770 uprawnień, abyśmy mogli kontrolować, kto może używać tego, co jest zamontowane na / media przez dodanie użytkownika do grupy «pendrive», mam nadzieję, że zrozumiałeś 🙂
Witaj, KZKG ^ Gaara, w tym przypadku możemy użyć policykita, dzięki czemu osiągniemy to, że po włożeniu urządzenia USB system prosi nas o uwierzytelnienie jako użytkownik lub root przed jego zamontowaniem.
Mam kilka uwag na temat tego, jak to zrobiłem, w niedzielny poranek wysyłam to.
Pozdrowienia.
Dandole continuidad al mesaje sobre usar policykit y en vista de que de momento no he podido postear (supongo que debido a los cambios sucedidos en Desdelinux UsemosLinux) te dejo como hice para evitar que usuarios monten sus dispositivos USB. Esto bajo Debian 7.6 con Gnome 3.4.2
1. - Otwórz plik /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2.- Szukamy sekcji «»
3.- Zmieniamy następujące:
"I to jest"
przez:
„Auth_admin”
Gotowy!! będzie to wymagało uwierzytelnienia jako root podczas próby zamontowania urządzenia USB.
Referencje:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
Pozdrowienia.
W kroku 2 nie rozumiem, którą sekcję masz na myśli „Jestem początkującym”.
dzięki za pomoc.
Inna metoda: dodaj opcję "nousb" do wiersza poleceń jądra, co wymaga edycji pliku konfiguracyjnego grub lub lilo.
nousb - Wyłącz podsystem USB.
Jeśli ta opcja jest obecna, podsystem USB nie zostanie zainicjowany.
Jak pamiętać, że tylko użytkownik root ma uprawnienia do montowania urządzeń USB, a inni użytkownicy nie.
Dziękuję.
Jak pamiętać, że gotowe dystrybucje (takie jak ta, z której korzystasz) automatycznie montują urządzenia USB, Unity, Gnome lub KDE ... używając policykit lub dbus, ponieważ to system je montuje, nie użytkownik.
Za nic 😉
A jeśli chcę anulować efekt
sudo chmod 700 / średnia /
Co powinienem umieścić w terminalu, aby odzyskać dostęp do USB?
dzięki
To nie działa, jeśli podłączysz telefon komórkowy za pomocą kabla USB.
sudo chmod 777 / media /, aby ponownie włączyć.
Pozdrowienia.
To niewykonalne. Powinni montować USB tylko w katalogu innym niż / media.
Jeśli wyłączenie modułu USB nie działa, powinieneś zobaczyć, który moduł jest używany dla twoich portów USB. może wyłączasz niewłaściwy.
Zdecydowanie najłatwiejszy sposób, szukałem od jakiegoś czasu i nie mogłem wymyślić tego, który miałem pod nosem. Bardzo dziękuję
Zdecydowanie najłatwiejszy sposób. Szukałem go przez jakiś czas i nie mogłem wymyślić tego, który był tuż pod moim nosem. Bardzo dziękuję