Los que trabajan con usuarios en instituciones que requieren determinadas restricciones, bien sea para garantizar un nivel de seguridad, o por alguna idea u orden «de arriba» (como decimos acá), muchas veces necesitan implementar algunas restricciones de acceso en los ordenadores, aquí les hablaré específicamente sobre restringir o controlar el acceso a dispositivos de almacenamiento USB.
Índice
Restringir USB mediante modprobe (no me funcionó)
Esta es una práctica no precisamente nueva, consiste en añadir el módulo usb_storage a la lista negra (blacklist) de los módulos del kernel que se cargan, sería:
echo usb_storage > $HOME/blacklist sudo mv $HOME/blacklist /etc/modprobe.d/
Luego reiniciamos el ordenador y listo.
Deshabilitar USB quitando el driver del kernel (no me funcionó)
Otra opción sería quitarle el driver USB al kernel, para ello ejecutamos el siguiente comando:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
Reiniciamos y listo.
Esto lo que hará será que el archivo que contiene los drivers para USB que usa el kernel lo moverá hacia otra carpeta (/root/).
Si desean deshacer este cambio bastará con:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
Restringir el acceso a dispositivos USB cambiando permisos de /media/ (SI me funcionó)
Esta es hasta ahora el método que sí me funciona sin dudas. Como deben saber, los dispositivos USB se montan en /media/ o … si tu distro usa systemd, se montan en /run/media/
Lo que haremos será cambiarle los permisos a /media/ (o /run/media/) para que SOLO el usuario root pueda acceder a su contenido, para ello bastará:
sudo chmod 700 /media/
ó … si usas Arch u alguna distro con systemd:
sudo chmod 700 /run/media/
Una vez hecho esto, los dispositivos USB al ser conectados sí, se montarán, pero no le aparecerá notificación alguna al usuario, ni podrá acceder directamente a la carpeta ni nada.
Fin!
Hay algunas otras formas explicadas en la red, por ejemplo mediante Grub … pero, adivinen, no me funcionó tampoco 🙂
Publico tantas opciones (aún cuando no todas me funcionaron a mí) porque un conocido mío se compró una cámara digital en una tienda online productos de tecnología en Chile, recordó aquel script spy-usb.sh que hace un tiempo aquí expliqué (que recuerdo, sirve para espiar dispositivos USB y robar información de estos) y me preguntó si había alguna forma de evitar que se sustrajera información de su nueva cámara, o al menos alguna opción para bloquear los dispositivos USB en su ordenador de casa.
En fin, que esto si bien no es una protección para su cámara contra todos los ordenadores en la que la pueda conectar, al menos sí podrá proteger la PC de casa de que se saque información sensible mediante dispositivos USB.
Espero les haya sido (como siempre) de utilidad, si alguien conoce algún otro método para denegar el acceso a los USB en Linux y claro, le funciona sin problemas, que nos deje saber.
14 comentarios, deja el tuyo
Otra manera tambien posible de evitar que monten un usb storage podria ser mediante el cambio de reglas en udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, al modificar la regla para que solo root pueda montar dispositivos usb_storage, creo que sera una forma «elegante». saludos
En la wiki de Debian dicen de no bloquear módulos directamente en el archivo /etc/modprobe.d/blacklist (.conf), sino en uno independiente y que acabe en .conf: https://wiki.debian.org/KernelModuleBlacklisting . No sé si en Arch la cosa es diferente, pero sin haberlo probado en USBs en mi equipo funciona así con, por ejemplo, con bumblebee y pcspkr.
Y creo que Arch sí utiliza el mismo método, ¿no? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
Creo que una mejor opcion cambiando permisos seria crear un grupo especifico para /media, por ejemplo «pendrive», asignar ese grupo a /media y dar permisos 770, asi podriamos controlar quien puede utilizar lo que se monte en /media agregando al usuario al grupo «pendrive», espero se haya entendido 🙂
Hola, KZKG^Gaara, para este caso podemos usar policykit, con esto lograríamos que al insertar un dispositivo USB el sistema nos solicite autenticarnos como usuario o como root antes de montarlo.
Tengo unas notas de como lo hice, en el transcurso de mañana domingo lo posteo.
Saludos.
Dandole continuidad al mesaje sobre usar policykit y en vista de que de momento no he podido postear (supongo que debido a los cambios sucedidos en Desdelinux UsemosLinux) te dejo como hice para evitar que usuarios monten sus dispositivos USB. Esto bajo Debian 7.6 con Gnome 3.4.2
1.- Abrir el archivo /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2.- Buscamos la sección «»
3.- Cambiamos los siguiente:
«yes»
por:
«auth_admin»
Listo!! con esto se necesitará que te autentiques como root al intentar montar un dispositivo USB.
Referencias:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
Saludos.
En el paso 2 no entiendo a que seccion te refieres «soy principiante».
gracias por la ayuda.
Otro método: añadir la opción «nousb» en la línea de comandos de arranque del kernel, lo que supone editar el fichero de config de grub o lilo.
nousb — Disable the USB subsystem.
If this option is present, the USB subsystem will not be initialized.
Como tener en cuenta que solo el usuario root tenga permisos para montar dispositivos USB y los otros usuarios no.
gracias.
Como tener en cuenta que distros out-of-the-box (como la que usas) montan automáticamente dispositivos USB, bien sea Unity, Gnome o KDE … bien usando policykit o dbus, porque es el sistema quien los monta, no el usuario.
Por nada 😉
Y si quiero anular el efecto de
sudo chmod 700 /media/
Que debo poner en el terminal para volver a tener acceso a los USB ?
gracias
Eso no funciona si conectas tu movil con cable USB.
sudo chmod 777 /media/ para volver a habilitar.
Saludos.
Esto no es viable. Solo deberan montar la USB en otro directorio que no sea /media.
Si con desactivar módulo del USB no te funciona, deberias de ver qué módulo se utiliza para tus puertos USB. quizás estás desactivando el equivocado.