Tisti, ki delajo z uporabniki v ustanovah, ki zahtevajo določene omejitve, bodisi da bi zagotovili določeno stopnjo varnosti, bodisi po neki ideji ali ukazu »od zgoraj« (kot pravimo tukaj), morajo večkrat uvesti nekatere omejitve dostopa do računalnikov, tukaj Govoril bom posebej o omejevanju ali nadzoru dostopa do pomnilniških naprav USB.
Omeji USB z uporabo modprobe (zame ni uspelo)
To ni ravno nova praksa, saj vključuje dodajanje modula usb_storage na črni seznam naloženih modulov jedra:
echo usb_storage> $ HOME / črna lista sudo mv $ HOME / črna lista /etc/modprobe.d/
Nato znova zaženemo računalnik in to je to.
Onemogočite USB tako, da odstranite gonilnik jedra (zame ni deloval)
Druga možnost bi bila odstranitev gonilnika USB iz jedra, za to pa izvedemo naslednji ukaz:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
Ponovno se zaženemo in pripravljeni.
Datoteka, ki vsebuje gonilnike USB, ki jih uporablja jedro, jo bo premaknila v drugo mapo (/ root /).
Če želite razveljaviti to spremembo, bo dovolj:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
Omejevanje dostopa do naprav USB s spreminjanjem / medijev / dovoljenj (ČE je to uspelo zame)
To je doslej metoda, ki zame zagotovo deluje. Kot bi morali vedeti, so naprave USB nameščene na / media / o ... če vaš distro uporablja systemd, so nameščene na / run / media /
Kar bomo storili, je spremeniti dovoljenja v / media / (ali / run / media /), tako da lahko do njegove vsebine dostopa SAMO korenski uporabnik, za to bo zadostovalo:
sudo chmod 700 /media/
ali ... če uporabljate Arch ali katero koli distro s sistemom:
sudo chmod 700 /run/media/
Ko bodo to storjene, bodo naprave USB, ko so povezane, nameščene, vendar se uporabnik ne bo prikazal nobenega obvestila niti ne bo mogel neposredno dostopati do mape ali česar koli drugega.
Konec!
V internetu je razloženo nekaj drugih načinov, na primer uporaba Gruba ... ampak, ugani, tudi pri meni ni šlo 🙂
Objavljam toliko možnosti (čeprav niso vse delovale zame), ker je moj znanec kupil digitalni fotoaparat pri spletna trgovina tehnoloških izdelkov v Čilu, se je spomnil tega scenarija vohun-usb.sh da sem pred časom tukaj razložilSpomnim se, služi vohunjenju za napravami USB in kraji informacij iz njih) in me vprašal, ali obstaja način, kako preprečiti, da bi bile informacije ukradene z njegove nove kamere ali vsaj kakšna možnost blokiranja naprav USB v domačem računalniku.
Kakor koli že, čeprav to ni zaščita vaše kamere pred vsemi računalniki, v katere jo lahko priključite, bo vsaj lahko zaščitil domači računalnik pred odstranjevanjem občutljivih podatkov prek naprav USB.
Upam, da je bilo (kot vedno) koristno, če kdo pozna kakšen drug način za zavrnitev dostopa do USB v Linuxu in seveda deluje brez težav, naj nam sporoči.
Drug možen način za preprečitev namestitve USB-pomnilnika bi lahko bil spreminjanje pravil v udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, s spreminjanjem pravila, tako da lahko samo root namesti naprave usb_storage, mislim, da bo to "moden" način. Na zdravje
V wikiju Debian pravijo, da modulov ne sme blokirati neposredno v datoteki /etc/modprobe.d/blacklist (.conf), temveč v neodvisnem, ki se konča na .conf: https://wiki.debian.org/KernelModuleBlacklisting . Ne vem, ali so v Archu stvari drugačne, toda brez tega, da bi poskusil na USB-jih v računalniku, deluje tako, na primer z bumblebeejem in pcspkr.
In mislim, da Arch uporablja isto metodo, kajne? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
Mislim, da bi bila boljša možnost s spreminjanjem dovoljenj ustvariti določeno skupino za / media, na primer "pendrive", dodeliti to skupino / media in dati dovoljenja 770, tako da bi lahko nadzorovali, kdo lahko uporablja, kaj je nameščeno na / media dodajanje uporabnika v skupino «pendrive», upam, da ste razumeli 🙂
Pozdravljeni, KZKG ^ Gaara, v tem primeru lahko uporabimo komplet pravilnikov, s čimer bi dosegli, da nas sistem pri vstavljanju naprave USB zahteva, da se pred namestitvijo preverimo kot uporabnik ali root.
Imam nekaj zapiskov o tem, kako sem to naredil, v nedeljo zjutraj pa jih objavim.
Lep pozdrav.
Dandole continuidad al mesaje sobre usar policykit y en vista de que de momento no he podido postear (supongo que debido a los cambios sucedidos en Desdelinux UsemosLinux) te dejo como hice para evitar que usuarios monten sus dispositivos USB. Esto bajo Debian 7.6 con Gnome 3.4.2
1. - Odprite datoteko /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2.- Iščemo razdelek «»
3. - Spreminjamo naslednje:
"In je"
por:
"Auth_admin"
Pripravljen !! to bo zahtevalo preverjanje pristnosti kot root, ko poskušate namestiti napravo USB.
reference:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
Lep pozdrav.
V 2. koraku ne razumem, na kateri odsek mislite "Sem začetnik."
Hvala za pomoč.
Druga metoda: v ukazno vrstico za zagon jedra dodajte možnost "nousb", ki vključuje urejanje konfiguracijske datoteke grub ali lilo.
nousb - Onemogočite podsistem USB.
Če je ta možnost prisotna, podsistem USB ne bo inicializiran.
Kako upoštevati, da ima samo korenski uporabnik dovoljenja za namestitev naprav USB, drugi uporabniki pa ne.
Hvala.
Kako imeti v mislih, da distribucije, ki so na voljo v škatli (na primer tisto, ki jo uporabljate), samodejno priklopijo naprave USB, bodisi Unity, Gnome ali KDE ... bodisi s pomočjo kita politike ali dbus, ker jih sistem pritrdi, ne uporabnik.
Za nič 😉
In če želim preklicati učinek
sudo chmod 700 / mediji /
Kaj naj dam v terminal, da si povrnem dostop do USB-ja?
hvala
To ne deluje, če svoj mobilni telefon povežete s kablom USB.
sudo chmod 777 / media / za ponovno omogočanje.
Lep pozdrav.
To ni izvedljivo. USB morajo namestiti samo v imenik, ki ni / media.
Če onemogočanje modula USB ne deluje, bi morali videti, kateri modul se uporablja za vaša vrata USB. mogoče onemogočite napačnega.
Definitivno najlažji način, enega sem iskal že nekaj časa in nisem prišel do tistega, ki mi je bil pod nosom. Najlepša hvala
Vsekakor najlažji način. Že nekaj časa sem iskal enega in se nisem mogel spomniti tistega, ki mi je bil pred nosom. Najlepša hvala