Cei care lucrează cu utilizatori în instituții care necesită anumite restricții, fie pentru a garanta un nivel de securitate, fie prin vreo idee sau comandă „de sus” (așa cum spunem aici), de multe ori trebuie să implementeze unele restricții de acces pe computere, aici I va vorbi în mod specific despre restricționarea sau controlul accesului la dispozitivele de stocare USB.
Restricționează USB folosind modprobe (nu a funcționat pentru mine)
Aceasta nu este tocmai o practică nouă, constă în adăugarea modulului usb_storage la lista neagră a modulelor kernel care sunt încărcate, ar fi:
eco usb_storage> $ HOME / lista neagră sudo mv $ HOME / lista neagră /etc/modprobe.d/
Apoi repornim computerul și gata.
Dezactivați USB eliminând driverul kernel (nu a funcționat pentru mine)
O altă opțiune ar fi eliminarea driverului USB din nucleu, pentru aceasta executăm următoarea comandă:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
Repornim și suntem gata.
Aceasta va muta fișierul care conține driverele USB utilizate de kernel într-un alt folder (/ root /).
Dacă doriți să anulați această modificare, va fi suficient cu:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
Restricționați accesul la dispozitivele USB modificând / media / permisiuni (DACĂ a funcționat pentru mine)
Aceasta este până acum metoda care funcționează cu siguranță pentru mine. După cum ar trebui să știți, dispozitivele USB sunt montate pe / media / o ... dacă distribuția dvs. utilizează systemd, acestea sunt montate pe / run / media /
Ceea ce vom face este să schimbăm permisiunile la / media / (sau / run / media /) astfel încât DOAR utilizatorul root să își poată accesa conținutul, pentru aceasta va fi suficient:
sudo chmod 700 /media/
sau ... dacă utilizați Arch sau orice distro cu systemd:
sudo chmod 700 /run/media/
După ce se face acest lucru, dispozitivele USB atunci când sunt conectate vor fi montate, dar nu va apărea nicio notificare utilizatorului și nici nu vor putea accesa direct folderul sau altceva.
Sfarsit!
Există și alte modalități explicate pe net, de exemplu folosind Grub ... dar, ghici ce, nici pentru mine nu a funcționat 🙂
Postez atât de multe opțiuni (chiar dacă nu toate au funcționat pentru mine) pentru că o cunoștință a mea a cumpărat o cameră digitală la un magazin online de produse tehnologice în Chile, și-a amintit acel scenariu spion-usb.sh că acum ceva timp am explicat aiciÎmi amintesc că servește pentru a spiona dispozitivele USB și a fura informații de pe acestea) și m-a întrebat dacă există vreo modalitate de a împiedica furarea informațiilor din noua sa cameră sau cel puțin o opțiune de blocare a dispozitivelor USB de pe computerul său de acasă.
Pe scurt, deși aceasta nu este o protecție pentru camera dvs. împotriva tuturor computerelor pe care o puteți conecta, cel puțin va putea proteja PC-ul de acasă de eliminarea informațiilor sensibile prin dispozitive USB.
Sper că ți-a fost (ca întotdeauna) util, dacă cineva știe de orice altă metodă de a refuza accesul la USB în Linux și, desigur, funcționează fără probleme, anunță-ne.
O altă modalitate posibilă de a preveni montarea unui stocare USB ar putea fi prin schimbarea regulilor în udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, modificând regula astfel încât numai rădăcina să poată monta dispozitive usb_storage, cred că va fi un mod „fantezist”. Salutari
În wiki-ul Debian se spune că nu trebuie să blocheze modulele direct în fișierul /etc/modprobe.d/blacklist (.conf), ci într-unul independent care se termină în .conf: https://wiki.debian.org/KernelModuleBlacklisting . Nu știu dacă lucrul este diferit în Arch, dar fără să-l fi încercat pe USB-urile de pe computerul meu funcționează așa cu, de exemplu, cu bumblebee și pcspkr.
Și cred că Arch folosește aceeași metodă, nu? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
Cred că o opțiune mai bună prin schimbarea permisiunilor ar fi crearea unui grup specific pentru / media, de exemplu „pendrive”, atribuirea acelui grup către / media și acordarea permisiunilor 770, astfel încât să putem controla cine poate folosi ceea ce este montat pe / media prin adăugând utilizatorul la grupul «pendrive», sper că ați înțeles 🙂
Bună ziua, KZKG ^ Gaara, pentru acest caz putem folosi policykit, cu acest lucru am reuși ca la introducerea unui dispozitiv USB sistemul să ne ceară autentificarea ca utilizator sau root înainte de a-l monta.
Am câteva note despre cum am făcut-o, în cursul zilei de duminică dimineață o postez.
Salutări.
Dând continuitate mesajului despre utilizarea policykit-ului și având în vedere că momentan nu am reușit să postez (presupun că din cauza modificărilor care au avut loc în Desdelinux Să folosim Linux) Vă las cum am făcut pentru a împiedica utilizatorii să-și monteze dispozitivele USB. Aceasta sub Debian 7.6 cu Gnome 3.4.2
1.- Deschideți fișierul /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2.- Căutăm secțiunea «»
3.- Modificăm următoarele:
"Si e"
prin:
„Auth_admin”
Gata!! acest lucru vă va cere să vă autentificați ca root atunci când încercați să montați un dispozitiv USB.
referințe:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
Salutări.
La pasul 2 nu înțeleg ce secțiune vrei să spui „Sunt începător”.
Multumesc pentru ajutor.
O altă metodă: adăugați opțiunea „nousb” la linia de comandă de pornire a nucleului, care implică editarea fișierului de configurare grub sau lilo.
nousb - Dezactivează subsistemul USB.
Dacă această opțiune este prezentă, subsistemul USB nu va fi inițializat.
Cum să rețineți că numai utilizatorul root are permisiuni pentru montarea dispozitivelor USB și ceilalți utilizatori nu.
Mulţumesc.
Cum să rețineți că distribuțiile automate (cum ar fi cea pe care o utilizați) montează automat dispozitive USB, fie Unity, Gnome sau KDE ... fie folosind policykit, fie dbus, deoarece sistemul le montează, nu utilizatorul.
Pentru nimic 😉
Și dacă vreau să anulez efectul
sudo chmod 700 / media /
Ce ar trebui să pun în terminal pentru a recâștiga accesul la USB?
Gracias
Acest lucru nu funcționează dacă vă conectați telefonul mobil cu un cablu USB.
sudo chmod 777 / media / pentru a reactiva.
Salutări.
Acest lucru nu este fezabil. Ar trebui să monteze USB-ul doar într-un alt director decât / media.
Dacă dezactivarea modulului USB nu funcționează pentru dvs., ar trebui să vedeți ce modul este utilizat pentru porturile USB. poate îl dezactivați pe cel greșit.
Cu siguranță cea mai ușoară cale, o caut de ceva vreme și nu mă puteam gândi la cea care era sub nasul meu. Mulțumesc foarte mult
Cu siguranță cea mai ușoară cale. Caut unul de ceva vreme si nu ma puteam gandi la cel care era chiar sub nasul meu. Mulțumesc foarte mult