Ata që punojnë me përdoruesit në institucione që kërkojnë kufizime të caktuara, ose për të garantuar një nivel të sigurisë, ose me ndonjë ide ose urdhër "nga lart" (siç themi këtu), shumë herë kanë nevojë për të zbatuar disa kufizime të hyrjes në kompjuter, këtu unë do të flasë posaçërisht për kufizimin ose kontrollimin e hyrjes në pajisjet e ruajtjes USB.
Kufizo USB duke përdorur modprobe (nuk funksionoi për mua)
Kjo nuk është saktësisht një praktikë e re, konsiston në shtimin e modulit usb_storage në listën e zezë të moduleve të kernelit që janë të ngarkuar, do të ishte:
echo usb_storage> $ HOME / listë e zezë sudo mv $ HOME / listë e zezë /etc/modprobe.d/
Pastaj rifillojmë kompjuterin dhe kaq.
Çaktivizo USB duke hequr shoferin e kernelit (nuk punoi për mua)
Një mundësi tjetër do të ishte heqja e shoferit USB nga kerneli, për këtë ne ekzekutojmë komandën vijuese:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
Ne rindizemi dhe jemi gati.
Kjo do të thotë që skedari që përmban drejtuesit USB të përdorur nga kerneli do ta zhvendosë atë në një dosje tjetër (/ root /).
Nëse doni ta zhbëni këtë ndryshim do të jetë e mjaftueshme me:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
Kufizoni aksesin në pajisjet USB duke ndryshuar / media / lejet (NFSE do të funksiononte për mua)
Kjo është deri më tani metoda që sigurisht funksionon për mua. Siç duhet ta dini, pajisjet USB janë montuar në / media / o ... nëse distro juaj përdor systemd, ato janë montuar / run / media /
Ajo që ne do të bëjmë është të ndryshojmë lejet në / media / (ose / ekzekutoj / media /) në mënyrë që VETEM përdoruesi rrënjë të mund të hyjë në përmbajtjen e tij, për këtë do të jetë e mjaftueshme:
sudo chmod 700 /media/
ose ... nëse përdorni Arch ose ndonjë distro me systemd:
sudo chmod 700 /run/media/
Sapo të bëhet kjo, pajisjet USB kur të jenë të lidhura do të montohen, por asnjë njoftim nuk do t'i shfaqet përdoruesit, as ata nuk do të jenë në gjendje të hyjnë direkt në dosje ose ndonjë gjë tjetër.
Fund!
Ekzistojnë disa mënyra të tjera të shpjeguara në internet, për shembull duke përdorur Grub ... por, me mend, çfarë nuk funksionoi as për mua
Unë postoj kaq shumë opsione (edhe pse jo të gjitha funksionuan për mua) sepse një i njohur i imi bleu një aparat fotografik dixhital në një dyqan online produkte të teknologjisë në Kili, kujtoi atë skenar spiun-usb.sh që pak kohë më parë e shpjegova këtuMë kujtohet, shërben për të spiunuar pajisjet USB dhe për të vjedhur informacione nga këto) dhe më pyeti nëse kishte ndonjë mënyrë për të parandaluar vjedhjen e informacionit nga kamera e tij e re, ose të paktën ndonjë mundësi për të bllokuar pajisjet USB në kompjuterin e tij të shtëpisë.
Sidoqoftë, megjithëse kjo nuk është një mbrojtje për kamerën tuaj nga të gjithë kompjuterët në të cilët mund ta lidhni, të paktën do të jetë në gjendje të mbrojë PC-në e shtëpisë nga heqja e informacionit të ndjeshëm përmes pajisjeve USB.
Shpresoj të ketë qenë (si gjithmonë) e dobishme për ju, nëse dikush di ndonjë metodë tjetër për të mohuar hyrjen në USB në Linux dhe natyrisht, funksionon pa probleme, na tregoni.
Një mënyrë tjetër e mundshme për të parandaluar montimin e një hapësire USB mund të jetë duke ndryshuar rregullat në udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, duke modifikuar rregullin në mënyrë që vetëm rrënja të mund të montojë pajisje usb_storage, mendoj se do të jetë një mënyrë "e zbukuruar". Brohoritje
Në wiki të Debian ata thonë që të mos bllokohen modulet direkt në skedarin /etc/modprobe.d/blacklist (.conf), por në një të pavarur që përfundon në .conf: https://wiki.debian.org/KernelModuleBlacklisting . Nuk e di nëse gjërat janë ndryshe në Arch, por pa e provuar në USB në kompjuterin tim funksionon kështu, për shembull, me grerëz dhe pcspkr.
Dhe mendoj se Arch përdor të njëjtën metodë, apo jo? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
Unë mendoj se një opsion më i mirë duke ndryshuar lejet do të ishte krijimi i një grupi specifik për / media, për shembull "pendrive", caktimi i këtij grupi në / media dhe dhënia e lejeve 770, kështu që ne të mund të kontrollonim se kush mund të përdorë atë që është montuar në / media duke shtuar përdoruesin në grupi «pendrive», shpresoj se e keni kuptuar
Përshëndetje, KZKG ^ Gaara, për këtë rast ne mund të përdorim Policykit, me këtë do të arrinim që kur futni një pajisje USB sistemi të na kërkojë të vërtetojmë si përdorues ose root para se ta montoni.
Kam disa shënime se si e bëra, gjatë mëngjesit të së Dielës, e postoj.
Përshëndetje.
Duke i dhënë vazhdimësi mesazhit për përdorimin e politikave dhe duke qenë se për momentin nuk kam mundur të postoj (supozoj për shkak të ndryshimeve që kanë ndodhur në Desdelinux Le të përdorim Linux) Unë ju lë se si bëra për të parandaluar përdoruesit që të montonin pajisjet e tyre USB. Kjo nën Debian 7.6 me Gnome 3.4.2
1. - Hapni skedarin /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2.- Kërkojmë seksionin «»
3.- Ne ndryshojmë sa vijon:
"Dhe eshte"
por:
"Auth_admin"
Gati !! kjo do të kërkojë që ju të vërtetoni si root kur përpiqeni të montoni një pajisje USB.
referencat:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
Përshëndetje.
Në hapin 2 nuk e kuptoj se në cilën pjesë do të thuash "Unë jam fillestar".
Faleminderit per ndihmen.
Një metodë tjetër: shtoni opsionin "nousb" në rreshtin e komandës boot kernel, i cili përfshin redaktimin e skedarit konfigurues grub ose lilo.
nousb - Çaktivizoni nënsistemin USB.
Nëse ky opsion është i pranishëm, nënsistemi USB nuk do të inicializohet.
Si të mbani në mend se vetëm përdoruesi rrënjë ka leje për të montuar pajisje USB dhe përdoruesit e tjerë nuk kanë.
Ju faleminderit.
Si të mbani në mend se shpërndarjet jashtë kutisë (si ajo që përdorni) montojnë automatikisht pajisjet USB, ose Unity, Gnome ose KDE ... ose duke përdorur politikë ose dbus, sepse është sistemi që i monton ato, jo përdoruesi.
Për asgjë
Dhe nëse dua të anuloj efektin e
sudo chmod 700 / mesatarja /
Çfarë duhet të vendos në terminal për të rimarrë hyrjen në USB?
falënderim
Kjo nuk funksionon nëse e lidhni celularin tuaj me një kabllo USB.
sudo chmod 777 / media / për ta riaktivizuar.
Përshëndetje.
Kjo nuk është e realizueshme. Ata duhet të montojnë USB vetëm në një drejtori tjetër përveç / media.
Nëse çaktivizimi i modulit USB nuk funksionon për ju, duhet të shihni se cili modul përdoret për portat tuaja USB. ndoshta po e çaktivizoni atë të gabuarën.
Padyshim mënyra më e lehtë, kam kohë që kërkoj një të tillë dhe nuk mund ta mendoja atë që ishte nën hundë. Shume faleminderit
Padyshim mënyra më e lehtë. Unë kam qenë duke kërkuar për një për një kohë dhe nuk mund të mendoj për atë që ishte pikërisht nën hundë. Shume faleminderit