De som arbetar med användare på institutioner som kräver vissa begränsningar, antingen för att garantera en säkerhetsnivå eller genom någon idé eller beställning "uppifrån" (som vi säger här), måste många gånger implementera åtkomstbegränsningar på datorer, här jag kommer att prata specifikt om att begränsa eller kontrollera åtkomst till USB-lagringsenheter.
Begränsa USB med modprobe (fungerade inte för mig)
Det här är inte precis en ny praxis, det består av att lägga till usb_storage-modulen till den svarta listan över kärnmodulerna som laddas, det skulle vara:
eko usb_storage> $ HOME / svartlista sudo mv $ HOME / svartlista /etc/modprobe.d/
Sedan startar vi om datorn och det är det.
Inaktivera USB genom att ta bort kärndrivrutinen (fungerade inte för mig)
Ett annat alternativ skulle vara att ta bort USB-drivrutinen från kärnan, för detta utför vi följande kommando:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
Vi startar om och är redo.
Detta flyttar filen som innehåller USB-drivrutinerna som används av kärnan till en annan mapp (/ root /).
Om du vill ångra den här ändringen räcker det med:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
Begränsa åtkomst till USB-enheter genom att ändra / media / behörigheter (OM det fungerade för mig)
Detta är hittills metoden som verkligen fungerar för mig. Som du borde veta är USB-enheter monterade på / media / o ... om din distro använder systemd, är de monterade på / kör / media /
Vad vi ska göra är att ändra behörigheterna till / media / (eller / run / media /) så att ENDAST rotanvändaren kan komma åt sitt innehåll, för detta räcker det:
sudo chmod 700 /media/
eller ... om du använder Arch eller någon distro med systemd:
sudo chmod 700 /run/media/
När detta är gjort kommer USB-enheterna när de är anslutna att monteras, men ingen avisering visas för användaren, och de kommer inte heller direkt att kunna komma åt mappen eller något annat.
Slutet!
Det finns några andra sätt som förklaras på nätet, till exempel med Grub ... men gissa vad, det fungerade inte heller för mig 🙂
Jag lägger upp så många alternativ (även om inte alla fungerade för mig) för att en bekant av mig köpte en digitalkamera på en onlinebutiksteknologiprodukter i Chile, kom han ihåg det manuset spion-usb.sh det för ett tag sedan förklarade jag härJag minns att det tjänar till att spionera på USB-enheter och stjäla information från dessa) och frågade mig om det fanns något sätt att förhindra att information stjäls från hans nya kamera, eller åtminstone något alternativ att blockera USB-enheter på hans hemdator.
Hur som helst, även om detta inte är ett skydd för din kamera mot alla datorer där du kan ansluta den, kommer den åtminstone att kunna skydda din hemdator från känslig information som tas via USB-enheter.
Jag hoppas att det har varit användbart (som alltid), om någon känner till någon annan metod för att neka tillgång till USB i Linux och naturligtvis fungerar det utan problem, låt oss veta.
Ett annat möjligt sätt att förhindra montering av ett USB-minne kan vara genom att ändra reglerna i udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, genom att ändra regeln så att endast root kan montera usb_storage-enheter, tror jag att det blir ett "snyggt" sätt. Hälsningar
I Debians wiki säger de att inte blockera moduler direkt i /etc/modprobe.d/blacklist (.conf) -filen, utan i en oberoende som slutar på .conf: https://wiki.debian.org/KernelModuleBlacklisting . Jag vet inte om saker är annorlunda i Arch, men utan att ha provat det på USB-datorer på min dator fungerar det så här med till exempel humla och pcspkr.
Och jag tror att Arch inte använder samma metod, eller hur? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
Jag tror att ett bättre alternativ genom att ändra behörigheter skulle vara att skapa en specifik grupp för / media, till exempel "pendrive", tilldela den gruppen till / media och ge behörigheter 770, så vi kunde styra vem som kan använda det som är monterat på / media av lägga till användaren i gruppen «pendrive», jag hoppas att du har förstått 🙂
Hej, KZKG ^ Gaara, för det här fallet kan vi använda policykit, med detta skulle vi uppnå att när vi sätter in en USB-enhet ber systemet oss att autentisera som användare eller root innan den monteras.
Jag har några anteckningar om hur jag gjorde det, under söndagsmorgonen lägger jag upp det.
Hälsningar.
Att ge kontinuitet till meddelandet om att använda policykit och med tanke på att jag för tillfället inte har kunnat posta (förmodar jag på grund av de förändringar som har skett i Desdelinux Let's UseLinux) Jag lämnar hur jag gjorde för att förhindra användare från att montera sina USB-enheter. Detta under Debian 7.6 med Gnome 3.4.2
1. - Öppna filen /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2.- Vi letar efter avsnittet «»
3.- Vi ändrar följande:
"Och det är"
med:
"Auth_admin"
Redo!! detta kräver att du verifierar som root när du försöker montera en USB-enhet.
referenser:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
Hälsningar.
I steg 2 förstår jag inte vilket avsnitt du menar "Jag är nybörjare."
tack för hjälpen.
En annan metod: lägg till alternativet "nousb" i kommandoraden för kärnstart, vilket innebär att redigera konfigurationsfilen för grub eller lilo.
nousb - Inaktivera USB-delsystemet.
Om det här alternativet finns kommer USB-delsystemet inte att initieras.
Hur man tänker på att endast rotanvändaren har behörighet att montera USB-enheter och andra användare inte har.
Tack.
Hur man tänker på att distributionsnät (som den du använder) automatiskt monterar USB-enheter, antingen Unity, Gnome eller KDE ... antingen med policykit eller dbus, eftersom det är systemet som monterar dem, inte användaren.
För ingenting 😉
Och om jag vill avbryta effekten av
sudo chmod 700 / media /
Vad ska jag lägga i terminalen för att få tillbaka tillgång till USB?
Tack
Det fungerar inte om du ansluter din mobil med en USB-kabel.
sudo chmod 777 / media / för att återaktivera.
Hälsningar.
Detta är inte genomförbart. De ska bara montera USB -enheten i en annan katalog än / media.
Om inaktivering av USB -modulen inte fungerar för dig bör du se vilken modul som används för dina USB -portar. kanske du inaktiverar fel.
Helt klart det enklaste sättet, jag har letat efter en ett tag och jag kunde inte komma på den som låg under näsan. Tack så mycket
Helt klart det enklaste sättet. Jag har letat efter en ett tag och jag kunde inte komma på den som låg precis under näsan på mig. Tack så mycket