Kufizoni përdorimin e pajisjeve USB në Linux

Ata që punojnë me përdoruesit në institucione që kërkojnë kufizime të caktuara, ose për të garantuar një nivel të sigurisë, ose me ndonjë ide ose urdhër "nga lart" (siç themi këtu), shumë herë kanë nevojë për të zbatuar disa kufizime të hyrjes në kompjuter, këtu unë do të flasë posaçërisht për kufizimin ose kontrollimin e hyrjes në pajisjet e ruajtjes USB.

Kufizo USB duke përdorur modprobe (nuk funksionoi për mua)

Kjo nuk është saktësisht një praktikë e re, konsiston në shtimin e modulit usb_storage në listën e zezë të moduleve të kernelit që janë të ngarkuar, do të ishte:

echo usb_storage> $ HOME / listë e zezë sudo mv $ HOME / listë e zezë /etc/modprobe.d/

Pastaj rifillojmë kompjuterin dhe kaq.

Sqaroni që megjithëse të gjithë e ndajnë këtë alternativë si zgjidhjen më efektive, në Harkun tim ajo nuk funksionoi për mua

Çaktivizo USB duke hequr shoferin e kernelit (nuk punoi për mua)

Një mundësi tjetër do të ishte heqja e shoferit USB nga kerneli, për këtë ne ekzekutojmë komandën vijuese:

sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/

Ne rindizemi dhe jemi gati.

Kjo do të thotë që skedari që përmban drejtuesit USB të përdorur nga kerneli do ta zhvendosë atë në një dosje tjetër (/ root /).

Nëse doni ta zhbëni këtë ndryshim do të jetë e mjaftueshme me:

sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/

As kjo mënyrë nuk funksionoi për mua, për disa arsye USB-të vazhduan të punonin për mua.

Kufizoni aksesin në pajisjet USB duke ndryshuar / media / lejet (NFSE do të funksiononte për mua)

Kjo është deri më tani metoda që sigurisht funksionon për mua. Siç duhet ta dini, pajisjet USB janë montuar në / media / o ... nëse distro juaj përdor systemd, ato janë montuar / run / media /

Ajo që ne do të bëjmë është të ndryshojmë lejet në / media / (ose / ekzekutoj / media /) në mënyrë që VETEM përdoruesi rrënjë të mund të hyjë në përmbajtjen e tij, për këtë do të jetë e mjaftueshme:

sudo chmod 700 /media/

ose ... nëse përdorni Arch ose ndonjë distro me systemd:

sudo chmod 700 /run/media/

Sigurisht, ata duhet të marrin parasysh që vetëm përdoruesi rrënjësor ka leje për të montuar pajisje USB, sepse atëherë përdoruesi mund të montojë USB-në në një dosje tjetër dhe të anashkalojë kufizimin tonë.

Sapo të bëhet kjo, pajisjet USB kur të jenë të lidhura do të montohen, por asnjë njoftim nuk do t'i shfaqet përdoruesit, as ata nuk do të jenë në gjendje të hyjnë direkt në dosje ose ndonjë gjë tjetër.

Fund!

Ekzistojnë disa mënyra të tjera të shpjeguara në internet, për shembull duke përdorur Grub ... por, me mend, çfarë nuk funksionoi as për mua

Unë postoj kaq shumë opsione (edhe pse jo të gjitha funksionuan për mua) sepse një i njohur i imi bleu një aparat fotografik dixhital në një dyqan online produkte të teknologjisë në Kili, kujtoi atë skenar spiun-usb.sh që pak kohë më parë e shpjegova këtuMë kujtohet, shërben për të spiunuar pajisjet USB dhe për të vjedhur informacione nga këto) dhe më pyeti nëse kishte ndonjë mënyrë për të parandaluar vjedhjen e informacionit nga kamera e tij e re, ose të paktën ndonjë mundësi për të bllokuar pajisjet USB në kompjuterin e tij të shtëpisë.

Sidoqoftë, megjithëse kjo nuk është një mbrojtje për kamerën tuaj nga të gjithë kompjuterët në të cilët mund ta lidhni, të paktën do të jetë në gjendje të mbrojë PC-në e shtëpisë nga heqja e informacionit të ndjeshëm përmes pajisjeve USB.

Shpresoj të ketë qenë (si gjithmonë) e dobishme për ju, nëse dikush di ndonjë metodë tjetër për të mohuar hyrjen në USB në Linux dhe natyrisht, funksionon pa probleme, na tregoni.


Përmbajtja e artikullit i përmbahet parimeve tona të etika editoriale. Për të raportuar një gabim klikoni këtu.

14 komente, lini tuajën

Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet.

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.

  1.   SnKisuke dijo

    Një mënyrë tjetër e mundshme për të parandaluar montimin e një hapësire USB mund të jetë duke ndryshuar rregullat në udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, duke modifikuar rregullin në mënyrë që vetëm rrënja të mund të montojë pajisje usb_storage, mendoj se do të jetë një mënyrë "e zbukuruar". Brohoritje

  2.   OtakuLogan dijo

    Në wiki të Debian ata thonë që të mos bllokohen modulet direkt në skedarin /etc/modprobe.d/blacklist (.conf), por në një të pavarur që përfundon në .conf: https://wiki.debian.org/KernelModuleBlacklisting . Nuk e di nëse gjërat janë ndryshe në Arch, por pa e provuar në USB në kompjuterin tim funksionon kështu, për shembull, me grerëz dhe pcspkr.

    1.    OtakuLogan dijo

      Dhe mendoj se Arch përdor të njëjtën metodë, apo jo? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .

  3.   rudamaço dijo

    Unë mendoj se një opsion më i mirë duke ndryshuar lejet do të ishte krijimi i një grupi specifik për / media, për shembull "pendrive", caktimi i këtij grupi në / media dhe dhënia e lejeve 770, kështu që ne të mund të kontrollonim se kush mund të përdorë atë që është montuar në / media duke shtuar përdoruesin në grupi «pendrive», shpresoj se e keni kuptuar

  4.   iskalotl dijo

    Përshëndetje, KZKG ^ Gaara, për këtë rast ne mund të përdorim Policykit, me këtë do të arrinim që kur futni një pajisje USB sistemi të na kërkojë të vërtetojmë si përdorues ose root para se ta montoni.
    Kam disa shënime se si e bëra, gjatë mëngjesit të së Dielës, e postoj.

    Përshëndetje.

  5.   iskalotl dijo

    Duke i dhënë vazhdimësi mesazhit në lidhje me përdorimin e politikës dhe duke pasur parasysh faktin që për momentin nuk kam qenë në gjendje të postoj (supozoj se për shkak të ndryshimeve që ndodhën në Desdelinux UsemosLinux) ju lë ashtu siç bëra për të parandaluar përdoruesit të montojnë pajisjet e tyre USB. Kjo nën Debian 7.6 me Gnome 3.4.2

    1. - Hapni skedarin /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
    2.- Kërkojmë seksionin «»
    3.- Ne ndryshojmë sa vijon:

    "Dhe eshte"

    por:

    "Auth_admin"

    Gati !! kjo do të kërkojë që ju të vërtetoni si root kur përpiqeni të montoni një pajisje USB.

    referencat:
    http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
    http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
    http://lwn.net/Articles/258592/

    Përshëndetje.

    1.    Raidel celma dijo

      Në hapin 2 nuk e kuptoj se në cilën pjesë do të thuash "Unë jam fillestar".

      Faleminderit per ndihmen.

  6.   ky emër i rremë dijo

    Një metodë tjetër: shtoni opsionin "nousb" në rreshtin e komandës boot kernel, i cili përfshin redaktimin e skedarit konfigurues grub ose lilo.

    nousb - Çaktivizoni nënsistemin USB.
    Nëse ky opsion është i pranishëm, nënsistemi USB nuk do të inicializohet.

  7.   Raidel celma dijo

    Si të mbani në mend se vetëm përdoruesi rrënjë ka leje për të montuar pajisje USB dhe përdoruesit e tjerë nuk kanë.

    Ju faleminderit.

    1.    KZKG ^ Gaara dijo

      Si të mbani në mend se shpërndarjet jashtë kutisë (si ajo që përdorni) montojnë automatikisht pajisjet USB, ose Unity, Gnome ose KDE ... ose duke përdorur politikë ose dbus, sepse është sistemi që i monton ato, jo përdoruesi.

      Për asgjë

  8.   Fitimtar dijo

    Dhe nëse dua të anuloj efektin e
    sudo chmod 700 / mesatarja /

    Çfarë duhet të vendos në terminal për të rimarrë hyrjen në USB?

    falënderim

  9.   anonim dijo

    Kjo nuk funksionon nëse e lidhni celularin tuaj me një kabllo USB.

  10.   ruyzz dijo

    sudo chmod 777 / media / për ta riaktivizuar.

    Përshëndetje.

  11.   Maurel reyes dijo

    Kjo nuk është e realizueshme. Ata duhet të montojnë USB vetëm në një drejtori tjetër përveç / media.

    Nëse çaktivizimi i modulit USB nuk funksionon për ju, duhet të shihni se cili modul përdoret për portat tuaja USB. ndoshta po e çaktivizoni atë të gabuarën.

bool (e vërtetë)