Тем, кто работает с пользователями в учреждениях, требующих определенных ограничений, либо для обеспечения уровня безопасности, либо по какой-то идее или приказу «сверху» (как мы здесь говорим), много раз необходимо ввести некоторые ограничения доступа на компьютерах, здесь я будет говорить конкретно об ограничении или контроле доступа к USB-устройствам хранения.
Ограничить USB с помощью modprobe (у меня не сработало)
Это не совсем новая практика, она заключается в добавлении модуля usb_storage в черный список загружаемых модулей ядра, это будет:
echo usb_storage> $ HOME / черный список sudo mv $ HOME / черный список /etc/modprobe.d/
Потом перезагружаем компьютер и все.
Отключить USB, удалив драйвер ядра (у меня не сработало)
Другой вариант - удалить драйвер USB из ядра, для этого мы выполняем следующую команду:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
Перезагружаемся и готово.
Это переместит файл, содержащий драйверы USB, используемые ядром, в другую папку (/ root /).
Если вы хотите отменить это изменение, достаточно:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
Ограничьте доступ к USB-устройствам, изменив / media / permissions (ЕСЛИ это сработало для меня)
Пока что это метод, который, безусловно, работает для меня. Как вы должны знать, USB-устройства монтируются в / media / o ... если ваш дистрибутив использует systemd, они монтируются в / run / media /
Что мы сделаем, так это изменим разрешения на / media / (или / run / media /), чтобы ТОЛЬКО пользователь root мог получить доступ к его содержимому, для этого будет достаточно:
sudo chmod 700 /media/
или ... если вы используете Arch или любой другой дистрибутив с systemd:
sudo chmod 700 /run/media/
Как только это будет сделано, подключенные USB-устройства будут подключены, но пользователю не будет отображаться никаких уведомлений, и они не смогут получить прямой доступ к папке или чему-либо еще.
Конец!
В сети есть и другие способы, например, с помощью Grub ... но, угадайте, у меня это тоже не сработало 🙂
Я публикую так много вариантов (хотя не все они у меня работали), потому что один мой знакомый купил цифровую камеру в интернет-магазин технологических товаров в Чили, вспомнил этот сценарий шпион-usb.sh что некоторое время назад я объяснил здесьЯ помню, он служит для слежки за USB-устройствами и кражи информации с них.) и спросил меня, есть ли способ предотвратить кражу информации с его новой камеры или, по крайней мере, какой-либо вариант заблокировать USB-устройства на его домашнем компьютере.
В любом случае, хотя это не защита вашей камеры от всех компьютеров, к которым вы можете ее подключить, по крайней мере, она сможет защитить домашний компьютер от удаления конфиденциальной информации через USB-устройства.
Я надеюсь, что это было (как всегда) полезно для вас, если кто-то знает какой-либо другой метод запрета доступа к USB в Linux и, конечно же, он работает без проблем, дайте нам знать.
Другой возможный способ предотвратить монтирование USB-накопителя - изменить правила в udev. http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, изменив правило так, чтобы только root мог монтировать устройства usb_storage, я думаю, что это будет "модный" способ. Ура
В вики Debian говорится, что модули нельзя блокировать непосредственно в файле /etc/modprobe.d/blacklist (.conf), а в отдельном файле, который заканчивается на .conf: https://wiki.debian.org/KernelModuleBlacklisting . Я не знаю, изменилось ли что-то в Arch, но, не пробуя его на USB-накопителях на моем компьютере, он работает, например, с bumblebee и pcspkr.
И я думаю, что Arch использует тот же метод, верно? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
Я думаю, что лучшим вариантом, изменив разрешения, было бы создать определенную группу для / media, например, «pendrive», назначить эту группу / media и дать разрешения 770, чтобы мы могли контролировать, кто может использовать то, что смонтировано на / media. добавив пользователя в группу «pendrive», надеюсь, вы поняли 🙂
Привет, KZKG ^ Gaara, в этом случае мы можем использовать policykit, с этим мы добьемся того, чтобы при вставке USB-устройства система запрашивала у нас аутентификацию как пользователя или root перед его монтированием.
У меня есть заметки о том, как я это делал, в течение воскресного утра выкладываю.
Привет.
Придание преемственности сообщению об использовании policykit и учитывая, что на данный момент я не смог опубликовать (полагаю, из-за изменений, произошедших в Desdelinux Давайте использовать Linux) Я оставляю вам то, как я сделал, чтобы запретить пользователям монтировать свои USB-устройства. Это в Debian 7.6 с Gnome 3.4.2.
1.- Откройте файл /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2.- Ищем раздел «»
3.- Изменяем следующее:
"И это"
по:
"Auth_admin"
Готов!! это потребует от вас аутентификации как root при попытке смонтировать USB-устройство.
Ссылки:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
Привет.
На шаге 2 я не понимаю, какой раздел вы имеете в виду: «Я новичок».
спасибо за помощь.
Другой метод: добавьте параметр «nousb» в командную строку загрузки ядра, что включает редактирование файла конфигурации grub или lilo.
nousb - Отключить подсистему USB.
Если этот параметр присутствует, подсистема USB не будет инициализирована.
Как помнить, что только пользователь root имеет права на монтирование USB-устройств, а другие пользователи - нет.
Спасибо.
Как иметь в виду, что готовые дистрибутивы (например, тот, который вы используете) автоматически монтируют USB-устройства, Unity, Gnome или KDE ... либо с помощью policykit, либо dbus, потому что это система, которая их монтирует, не пользователь.
Зря 😉
И если я хочу отменить действие
sudo chmod 700 / среднее /
Что я должен поставить в терминал, чтобы восстановить доступ к USB?
Gracias
Это не сработает, если вы подключите свой мобильный телефон с помощью кабеля USB.
sudo chmod 777 / media / для повторного включения.
Привет.
Это невозможно. Они должны монтировать USB только в каталог, отличный от / media.
Если отключение модуля USB не работает для вас, вы должны увидеть, какой модуль используется для ваших портов USB. возможно, вы отключаете не тот.
Определенно самый простой способ, я искал его какое-то время и не мог придумать тот, который был у меня под носом. Большое спасибо
Определенно самый простой способ. Я искал его какое-то время, и я не мог вспомнить тот, который был прямо у меня под носом. Большое спасибо