Ogranicz używanie urządzeń USB w systemie Linux

Ci, którzy pracują z użytkownikami w instytucjach, które wymagają pewnych ograniczeń, czy to w celu zagwarantowania poziomu bezpieczeństwa, czy też przez jakiś pomysł lub rozkaz „z góry” (jak mówimy tutaj), wielokrotnie muszą wprowadzić pewne ograniczenia dostępu na komputerach, tutaj ja omówi szczególnie ograniczanie lub kontrolowanie dostępu do urządzeń pamięci masowej USB.

Ogranicz USB za pomocą modprobe (nie działa dla mnie)

Nie jest to zupełnie nowa praktyka, polega na dodaniu modułu usb_storage do czarnej listy ładowanych modułów jądra, byłoby to:

echo usb_storage> $ HOME / blacklist sudo mv $ HOME / blacklist /etc/modprobe.d/

Następnie ponownie uruchamiamy komputer i to wszystko.

Wyjaśnij, że chociaż wszyscy dzielą tę alternatywę jako najskuteczniejsze rozwiązanie, w moim Archu to nie zadziałało

Wyłącz USB, usuwając sterownik jądra (nie działa dla mnie)

Inną opcją byłoby usunięcie sterownika USB z jądra, w tym celu wykonujemy następujące polecenie:

sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/

Restartujemy i gotowe.

Spowoduje to przeniesienie pliku zawierającego sterowniki USB używane przez jądro do innego folderu (/ root /).

Jeśli chcesz cofnąć tę zmianę, wystarczy:

sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/

Ten sposób też nie zadziałał dla mnie, z jakiegoś powodu USB nadal pracowało dla mnie.

Ograniczanie dostępu do urządzeń USB poprzez zmianę / media / uprawnienia (JEŚLI to zadziałało)

Jak dotąd jest to metoda, która z pewnością działa dla mnie. Jak powinieneś wiedzieć, urządzenia USB są montowane na / media / o… jeśli twoja dystrybucja używa systemd, są montowane na / run / media /

To, co zrobimy, to zmienimy uprawnienia do / media / (lub / run / media /) tak, aby TYLKO użytkownik root miał dostęp do jego zawartości, do tego wystarczy:

sudo chmod 700 /media/

lub ... jeśli używasz Arch lub dowolnej dystrybucji z systemd:

sudo chmod 700 /run/media/

Oczywiście muszą wziąć pod uwagę, że tylko użytkownik root ma uprawnienia do montowania urządzeń USB, ponieważ wtedy użytkownik mógłby zamontować USB w innym folderze i obejść nasze ograniczenie.

Po wykonaniu tej czynności podłączone urządzenia USB zostaną zamontowane, ale użytkownik nie otrzyma powiadomienia, ani nie będzie mógł uzyskać bezpośredniego dostępu do folderu ani czegokolwiek.

Koniec!

W sieci jest kilka innych wyjaśnień, na przykład użycie Gruba ... ale wiecie co, to też nie zadziałało dla mnie 🙂

Wrzucam tak wiele opcji (chociaż nie wszystkie z nich działały u mnie), ponieważ mój znajomy kupił aparat cyfrowy na produkty technologiczne sklepu internetowego w Chile, zapamiętał ten skrypt szpieg-usb.sh to chwilę temu wyjaśniłem tutajPamiętam, że służy do szpiegowania urządzeń USB i kradzieży z nich informacji) i zapytał mnie, czy jest jakiś sposób, aby zapobiec kradzieży informacji z jego nowego aparatu, lub przynajmniej jakąś opcję blokowania urządzeń USB w jego domowym komputerze.

Zresztą, choć nie jest to ochrona twojego aparatu przed wszystkimi komputerami, do których możesz go podłączyć, to przynajmniej będzie w stanie zabezpieczyć domowy pecet przed usunięciem poufnych informacji poprzez urządzenia USB.

Mam nadzieję, że przydało się (jak zawsze) dla Ciebie, jeśli ktoś zna inną metodę odmowy dostępu do USB w Linuksie i oczywiście działa bez problemów, daj nam znać.


Treść artykułu jest zgodna z naszymi zasadami etyka redakcyjna. Aby zgłosić błąd, kliknij tutaj.

14 komentarzy, zostaw swoje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   SnKisuke powiedział

    Innym możliwym sposobem uniknięcia montowania pamięci USB może być zmiana reguł w udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, modyfikując regułę tak, aby tylko root mógł montować urządzenia usb_storage, myślę, że będzie to "fantazyjny" sposób. pozdrowienia

  2.   OtakuLogan powiedział

    Na wiki Debiana mówi się, aby nie blokować modułów bezpośrednio w pliku /etc/modprobe.d/blacklist (.conf), ale w niezależnym, który kończy się na .conf: https://wiki.debian.org/KernelModuleBlacklisting . Nie wiem, czy w Archie jest inaczej, ale bez wypróbowania go na USB w moim komputerze działa tak, na przykład z trzmielem i pcspkr.

    1.    OtakuLogan powiedział

      Myślę, że Arch używa tej samej metody, prawda? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .

  3.   rudamacho powiedział

    Myślę, że lepszą opcją poprzez zmianę uprawnień byłoby utworzenie określonej grupy dla / media, na przykład "pendrive", przypisanie tej grupy do / media i nadanie 770 uprawnień, abyśmy mogli kontrolować, kto może używać tego, co jest zamontowane na / media przez dodanie użytkownika do grupy «pendrive», mam nadzieję, że zrozumiałeś 🙂

  4.   izkalotl powiedział

    Witaj, KZKG ^ Gaara, w tym przypadku możemy użyć policykita, dzięki czemu osiągniemy to, że po włożeniu urządzenia USB system prosi nas o uwierzytelnienie jako użytkownik lub root przed jego zamontowaniem.
    Mam kilka uwag na temat tego, jak to zrobiłem, w niedzielny poranek wysyłam to.

    Pozdrowienia.

  5.   izkalotl powiedział

    Dając ciągłość przekazu o używaniu policykita i biorąc pod uwagę fakt, że w tej chwili nie byłem w stanie pisać (przypuszczam, że ze względu na zmiany, które zaszły w Desdelinux UsemosLinux) zostawiam cię tak, jak zrobiłem, aby uniemożliwić użytkownikom montowanie ich urządzenia USB. To w Debianie 7.6 z Gnome 3.4.2

    1. - Otwórz plik /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
    2.- Szukamy sekcji «»
    3.- Zmieniamy następujące:

    "I to jest"

    przez:

    „Auth_admin”

    Gotowy!! będzie to wymagało uwierzytelnienia jako root podczas próby zamontowania urządzenia USB.

    Referencje:
    http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
    http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
    http://lwn.net/Articles/258592/

    Pozdrowienia.

    1.    Raidel Celma powiedział

      W kroku 2 nie rozumiem, którą sekcję masz na myśli „Jestem początkującym”.

      dzięki za pomoc.

  6.   to imię jest fałszywe powiedział

    Inna metoda: dodaj opcję "nousb" do wiersza poleceń jądra, co wymaga edycji pliku konfiguracyjnego grub lub lilo.

    nousb - Wyłącz podsystem USB.
    Jeśli ta opcja jest obecna, podsystem USB nie zostanie zainicjowany.

  7.   Raidel Celma powiedział

    Jak pamiętać, że tylko użytkownik root ma uprawnienia do montowania urządzeń USB, a inni użytkownicy nie.

    Dziękuję.

    1.    KZKG ^ Gaara powiedział

      Jak pamiętać, że gotowe dystrybucje (takie jak ta, z której korzystasz) automatycznie montują urządzenia USB, Unity, Gnome lub KDE ... używając policykit lub dbus, ponieważ to system je montuje, nie użytkownik.

      Za nic 😉

  8.   zwycięzca powiedział

    A jeśli chcę anulować efekt
    sudo chmod 700 / średnia /

    Co powinienem umieścić w terminalu, aby odzyskać dostęp do USB?

    dzięki

  9.   anonimowy powiedział

    To nie działa, jeśli podłączysz telefon komórkowy za pomocą kabla USB.

  10.   Ruyzz powiedział

    sudo chmod 777 / media /, aby ponownie włączyć.

    Pozdrowienia.

  11.   Maurel Reyes powiedział

    To niewykonalne. Powinni montować USB tylko w katalogu innym niż / media.

    Jeśli wyłączenie modułu USB nie działa, powinieneś zobaczyć, który moduł jest używany dla twoich portów USB. może wyłączasz niewłaściwy.