Они који раде са корисницима у институцијама које захтевају одређена ограничења, било да би се гарантовао ниво безбедности, било неком идејом или наредбом „одозго“ (као што овде кажемо), много пута треба да примене нека ограничења приступа на рачунарима, овде И говориће конкретно о ограничавању или контроли приступа УСБ меморијским уређајима.
Ограничи УСБ помоћу модпробе (код мене није успео)
Ово није баш нова пракса, састоји се од додавања модула усб_стораге на црну листу учитаних модула језгра, а то би било:
ецхо усб_стораге> $ ХОМЕ / црна листа судо мв $ ХОМЕ / црна листа /етц/модпробе.д/
Затим поново покренемо рачунар и то је то.
Онемогућите УСБ уклањањем управљачког програма кернела (код мене није успело)
Друга опција би била уклањање УСБ управљачког програма из језгра, за то извршавамо следећу наредбу:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
Поново се покрећемо и спремни.
Ово ће преместити датотеку која садржи УСБ управљачке програме које језгро користи у другу фасциклу (/ роот /).
Ако желите да опозовете ову промену, биће довољно са:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
Ограничавање приступа УСБ уређајима променом / медија / дозвола (АКО је успело код мене)
Ово је до сада метода која ми сигурно одговара. Као што бисте требали знати, УСБ уређаји се монтирају на / медиа / о ... ако ваш дистро користи системд, они се монтирају на / рун / медиа /
Оно што ћемо урадити је да променимо дозволе у / медиа / (или / рун / медиа /) тако да САМО роот корисник може приступити његовом садржају, за ово ће бити довољно:
sudo chmod 700 /media/
или ... ако користите Арцх или било који дистро са системд:
sudo chmod 700 /run/media/
Када се то уради, УСБ уређаји када се повежу биће монтирани, али кориснику се неће појавити обавештење, нити ће моћи директно да приступе директоријуму или било чему другом.
Крај!
Постоје неки други начини објашњени на мрежи, на пример коришћење Груба ... али, погодите шта, ни мени није успело 🙂
Објављујем толико опција (иако ми нису све радиле) јер је мој познаник купио дигитални фотоапарат у а Интернет продавница технолошких производа у Чилеу, сетио се тог сценарија спи-усб.сх то сам малопре објаснио овдеСећам се, служи за шпијунирање УСБ уређаја и крађу информација са њих) и питао ме постоји ли начин да се спречи крађа информација са његове нове камере или бар нека опција за блокирање УСБ уређаја на кућном рачунару.
Укратко, иако ово није заштита ваше камере од свих рачунара на које је можете повезати, барем ће моћи да заштити кућни рачунар од уклањања осетљивих података путем УСБ уређаја.
Надам се да вам је било корисно (као и увек), ако неко зна за било који други начин ускраћивања приступа УСБ-у у Линуку и наравно, ради без проблема, јавите нам.
Други могући начин да се избегне монтирање усб меморије може бити промена правила удев http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, модификовањем правила тако да само роот може монтирати усб_стораге уређаје, мислим да ће то бити „фенси“ начин. Живели
У Дебиан вики-ју кажу да не блокирају модуле директно у датотеци /етц/модпробе.д/блацклист (.цонф), већ у независном који се завршава са .цонф: https://wiki.debian.org/KernelModuleBlacklisting . Не знам да ли је ствар другачија у Арцху, али без да сам то пробао на УСБ-овима на рачунару, ово функционише овако, на пример, са бумбарима и пцспкр-ом.
И мислим да Арцх користи исту методу, зар не? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
Мислим да би боља опција променом дозвола била стварање одређене групе за / медиа, на пример „пендриве“, додељивање те групе / медиа и давање дозвола 770, како бисмо могли да контролишемо ко може да користи оно што је монтирано на / медиа би додавањем корисника у групу «пендриве», надам се да сте разумели 🙂
Здраво, КЗКГ ^ Гаара, у овом случају можемо да користимо полицикит, чиме бисмо постигли да приликом уметања УСБ уређаја систем од нас тражи да се потврдимо као корисник или роот пре него што га монтирамо.
Имам неке белешке о томе како сам то урадио, у недељу ујутру објављујем.
Поздрав.
Дајући континуитет поруци о коришћењу Полицикит-а и с обзиром на то да тренутно нисам у могућности да постављам (претпостављам због промена које су се десиле у Desdelinux Хајде да користимоЛинук) Остављам вам како сам учинио да спречим кориснике да монтирају своје УСБ уређаје. Ово под Дебиан-ом 7.6 са Гноме-ом 3.4.2
1.- Отворите датотеку /уср/схаре/полкит-1/ацтионс/орг.фреедесктоп.удискс.полици
2.- Тражимо одељак «»
3.- Мењамо следеће:
"И то је"
по:
"Аутх_админ"
Спремни !! ово ће захтевати потврду идентитета као роот када покушавате да монтирате УСБ уређај.
Референце:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
Поздрав.
У кораку 2 не разумем на који одељак мислите „Почетник сам“.
Хвала на помоћи.
Други метод: додајте опцију "ноусб" у командну линију покретања кернела, што укључује уређивање датотеке конфигурације груб или лило.
ноусб - Онемогућите УСБ подсистем.
Ако је ова опција присутна, УСБ подсистем неће бити иницијализован.
Како имати на уму да само роот корисник има дозволу за монтирање УСБ уређаја, а остали корисници немају.
Хвала.
Како имати на уму да готови дистро дистрибови (попут оног који користите) аутоматски монтирају УСБ уређаје, било Унити, Гноме или КДЕ ... било користећи полицикит или дбус, јер их систем монтира, не корисник.
Ни за шта 😉
А ако желим да откажем ефекат
судо цхмод 700 / медији /
Шта да ставим у терминал да бих поново стекао приступ УСБ-у?
хвала
То не функционише ако свој мобилни телефон повежете УСБ каблом.
судо цхмод 777 / медиа / за поновно омогућавање.
Поздрав.
Ово није изводљиво. УСБ треба да монтирају само у директоријум који није / медиа.
Ако онемогућавање УСБ модула не ради за вас, требали бисте видјети који се модул користи за ваше УСБ портове. можда онемогућавате погрешну.
Дефинитивно најлакши начин, тражио сам већ неко време и нисам могао да се сетим оног који ми је био под носом. Хвала Вам много
Дефинитивно најлакши начин. Једно време сам тражио и нисам могао да се сетим оног који ми је био пред носом. Хвала Вам много