Quem trabalha com usuários em instituições que exigem certas restrições, seja para garantir um nível de segurança, seja por alguma ideia ou ordem "de cima" (como falamos aqui), muitas vezes precisa implementar algumas restrições de acesso aos computadores, aqui eu falará especificamente sobre como restringir ou controlar o acesso a dispositivos de armazenamento USB.
Restringir USB usando modprobe (não funcionou para mim)
Esta não é exatamente uma prática nova, consiste em adicionar o módulo usb_storage à lista negra dos módulos do kernel que são carregados, seria:
echo usb_storage> $ HOME / lista negra sudo mv $ HOME / lista negra /etc/modprobe.d/
Então reiniciamos o computador e pronto.
Desative o USB removendo o driver do kernel (não funcionou para mim)
Outra opção seria remover o driver USB do kernel, para isso executamos o seguinte comando:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
Reinicializamos e estamos prontos.
Isso moverá o arquivo contendo os drivers USB usados pelo kernel para outra pasta (/ root /).
Se você deseja desfazer esta mudança, bastará com:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
Restrinja o acesso a dispositivos USB alterando as permissões de / media / (SE funcionou para mim)
Este é até agora o método que certamente funciona para mim. Como você deve saber, os dispositivos USB são montados em / media / o ... se sua distro usa systemd, eles são montados em / run / media /
O que faremos é alterar as permissões para / media / (ou / run / media /) para que SOMENTE o usuário root possa acessar seu conteúdo, para isso será suficiente:
sudo chmod 700 /media/
ou ... se você usa Arch ou qualquer distro com systemd:
sudo chmod 700 /run/media/
Feito isso, os dispositivos USB quando conectados serão montados, mas nenhuma notificação aparecerá para o usuário, nem ele poderá acessar diretamente a pasta ou qualquer coisa.
O fim!
Existem outras maneiras explicadas na rede, por exemplo, usando o Grub ... mas, adivinhe, também não funcionou para mim 🙂
Posto tantas opções (embora nem todas tenham funcionado para mim) porque um conhecido meu comprou uma câmera digital em um produtos de tecnologia da loja online no Chile, ele se lembrou daquele script espião-usb.sh que há um tempo eu expliquei aquiEu me lembro, ele serve para espionar dispositivos USB e roubar informações desses) e me perguntou se havia alguma maneira de evitar que informações fossem roubadas de sua nova câmera, ou pelo menos alguma opção para bloquear dispositivos USB em seu computador doméstico.
De qualquer forma, embora esta não seja uma proteção para sua câmera contra todos os computadores nos quais você pode conectá-la, pelo menos será capaz de proteger o PC doméstico da remoção de informações sensíveis através de dispositivos USB.
Espero que tenha sido (como sempre) útil para você, se alguém souber de algum outro método para negar acesso a USB no Linux e claro que funciona sem problemas, avise-nos.
Outra forma possível de evitar a montagem de um armazenamento USB pode ser alterando as regras no udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, modificando a regra para que apenas o root possa montar dispositivos usb_storage, acho que será uma maneira "sofisticada". Felicidades
No wiki do Debian, eles dizem para não bloquear módulos diretamente no arquivo /etc/modprobe.d/blacklist (.conf), mas em um independente que termina em .conf: https://wiki.debian.org/KernelModuleBlacklisting . Não sei se a coisa é diferente no Arch, mas sem ter experimentado em USBs no meu computador funciona assim com, por exemplo, com abelha e pcspkr.
E acho que o Arch usa o mesmo método, certo? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
Acho que uma opção melhor ao alterar as permissões seria criar um grupo específico para / media, por exemplo "pendrive", atribuir esse grupo a / media e dar permissões 770, para que pudéssemos controlar quem pode usar o que está montado em / media ao adicionar o usuário ao grupo «pendrive», espero que você tenha entendido 🙂
Olá, KZKG ^ Gaara, para este caso podemos usar o policykit, com isso conseguiríamos que ao inserir um dispositivo USB o sistema nos pedisse para autenticar como usuário ou root antes de montá-lo.
Eu tenho algumas notas de como fiz isso, no decorrer do domingo amanhã eu posto.
Saudações.
Dando continuidade à mensagem sobre o uso do Policykit e dado que no momento não consegui postar (suponho que devido às mudanças ocorridas no Desdelinux Vamos UseLinux) Deixo para vocês como fiz para evitar que os usuários montassem seus dispositivos USB. Isso no Debian 7.6 com Gnome 3.4.2
1.- Abra o arquivo /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2.- Procuramos a seção «»
3.- Mudamos o seguinte:
"E isso é"
por:
"Auth_admin"
Pronto!! isso exigirá que você se autentique como root ao tentar montar um dispositivo USB.
referências:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
Saudações.
Na etapa 2, não entendo qual seção você quer dizer "Sou um iniciante"
obrigado pela ajuda.
Outro método: adicione a opção "nousb" à linha de comando de inicialização do kernel, que envolve a edição do arquivo de configuração grub ou lilo.
nousb - Desativa o subsistema USB.
Se esta opção estiver presente, o subsistema USB não será inicializado.
Como ter em mente que apenas o usuário root tem permissão para montar dispositivos USB e os outros usuários não.
Obrigado.
Como ter em mente que distros prontas para usar (como a que você usa) montam dispositivos USB automaticamente, seja Unity, Gnome ou KDE ... usando o policykit ou dbus, porque é o sistema que os monta, não o usuário.
Por nada 😉
E se eu quiser cancelar o efeito de
sudo chmod 700 / mean /
O que devo colocar no terminal para recuperar o acesso ao USB?
obrigado
Isso não funciona se você conectar seu celular com um cabo USB.
sudo chmod 777 / media / para reativar.
Saudações.
Isso não é viável. Eles só devem montar o USB em um diretório diferente de / media.
Se desabilitar o módulo USB não funcionar para você, você deve ver qual módulo é usado para suas portas USB. talvez você esteja desativando o errado.
Definitivamente a maneira mais fácil, eu estava procurando por um por um tempo e não conseguia pensar no que estava debaixo do meu nariz. Muito obrigado
Definitivamente a maneira mais fácil. Eu estive procurando por um por um tempo e não conseguia pensar no que estava bem debaixo do meu nariz. Muito obrigado