Paghigpitan ang paggamit ng mga USB device sa Linux

Ang mga nakikipagtulungan sa mga gumagamit sa mga institusyon na nangangailangan ng ilang mga paghihigpit, alinman upang magarantiyahan ang isang antas ng seguridad, o ng ilang ideya o order na "mula sa itaas" (tulad ng sinasabi natin dito), maraming beses na kailangang magpatupad ng ilang mga paghihigpit sa pag-access sa mga computer, dito Partikular kong pag-uusapan ang tungkol sa paghihigpit o pagkontrol sa pag-access sa mga USB storage device.

Paghigpitan ang USB gamit ang modprobe (hindi gumana para sa akin)

Hindi ito eksaktong isang bagong kasanayan, binubuo ito ng pagdaragdag ng module ng usb_storage sa blacklist ng mga module ng kernel na na-load, magiging:

echo usb_storage> $ HOME / blacklist sudo mv $ HOME / blacklist /etc/modprobe.d/

Pagkatapos ay i-restart namin ang computer at iyon na.

Nilinaw na kahit na nagbabahagi ang bawat isa ng alternatibong ito bilang ang pinaka mabisang solusyon, sa aking Arch hindi ito gumana para sa akin

Huwag paganahin ang USB sa pamamagitan ng pag-alis ng kernel driver (hindi gumana para sa akin)

Ang isa pang pagpipilian ay ang alisin ang USB driver mula sa kernel, para dito isinasagawa namin ang sumusunod na utos:

sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/

Nagre-reboot at handa na kami.

Ililipat nito ang file na naglalaman ng mga USB driver na ginamit ng kernel sa ibang folder (/ root /).

Kung nais mong i-undo ang pagbabagong ito, sapat na ito sa:

sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/

Sa ganitong paraan ay hindi rin gumana para sa akin, sa ilang kadahilanan ang mga USB ay patuloy na gumagana para sa akin.

Pinaghihigpitan ang pag-access sa mga USB device sa pamamagitan ng pagbabago / media / mga pahintulot (KUNG ito ay gumagana para sa akin)

Ito ay hanggang ngayon ang pamamaraan na tiyak na gumagana para sa akin. Tulad ng dapat mong malaman, ang mga USB device ay naka-mount sa / media / o ... kung ang iyong distro ay gumagamit ng systemd, naka-mount sila sa / run / media /

Ang gagawin namin ay baguhin ang mga pahintulot sa / media / (o / run / media /) upang ang root user lamang ang ma-access ang nilalaman nito, para sa sapat na ito:

sudo chmod 700 /media/

o ... kung gumagamit ka ng Arch o anumang distro na may systemd:

sudo chmod 700 /run/media/

Siyempre, dapat nilang isaalang-alang na ang root user lamang ang may mga pahintulot na mai-mount ang mga USB device, dahil maaaring mai-mount ng gumagamit ang USB sa ibang folder at maiwasan ang aming paghihigpit.

Kapag tapos na ito, mai-mount ang mga USB device kapag nakakonekta, ngunit walang lilitaw na abiso sa gumagamit, o direkta nilang mai-access ang folder o anupaman.

Wakas!

Mayroong ilang iba pang mga paraan na ipinaliwanag sa net, halimbawa paggamit ng Grub ... ngunit, hulaan kung ano, hindi ito gumana para sa akin 🙂

Nag-post ako ng napakaraming mga pagpipilian (kahit na hindi lahat sa kanila ay nagtrabaho para sa akin) dahil ang isang kakilala ko ay bumili ng isang digital camera sa isang mga produktong teknolohiya ng online na tindahan sa Chile, naalala ang script na iyon spy-usb.sh na kanina pa ako nagpaliwanag ditoNaaalala ko, nagsisilbi ito upang maniktik sa mga USB device at magnakaw ng impormasyon mula sa mga ito) at tinanong ako kung may anumang paraan upang mapigilan ang impormasyon na ninakaw mula sa kanyang bagong camera, o kahit ilang opsyon upang harangan ang mga USB device sa kanyang computer sa bahay.

Gayunpaman, kahit na hindi ito proteksyon para sa iyong camera laban sa lahat ng mga computer kung saan mo ito makakonekta, hindi bababa sa mapoprotektahan nito ang home PC mula sa pagtanggal ng sensitibong impormasyon sa pamamagitan ng mga USB device.

Inaasahan kong naging kapaki-pakinabang sa iyo (tulad ng lagi) para sa iyo, kung may nakakaalam ng ibang paraan upang tanggihan ang pag-access sa USB sa Linux at syempre, gumagana ito nang walang mga problema, ipaalam sa amin.


Ang nilalaman ng artikulo ay sumusunod sa aming mga prinsipyo ng etika ng editoryal. Upang mag-ulat ng isang pag-click sa error dito.

14 na puna, iwan mo na ang iyo

Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.

  1.   SnKisuke dijo

    Ang isa pang posibleng paraan upang maiwasan ang pag-mount ng isang imbakan ng usb ay maaaring sa pamamagitan ng pagbabago ng mga patakaran sa udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, sa pamamagitan ng pagbabago ng panuntunan upang ang root lamang ang maaaring i-mount ang mga aparato ng usb_storage, sa palagay ko ito ay magiging isang "magarbong" paraan. Cheers

  2.   OtakuLogan dijo

    Sa wiki ng Debian sinabi nila na huwag harangan ang mga module nang direkta sa /etc/modprobe.d/blacklist (.conf) file, ngunit sa isang independiyenteng isa na nagtatapos sa .conf: https://wiki.debian.org/KernelModuleBlacklisting . Hindi ko alam kung magkakaiba ang mga bagay sa Arch, ngunit nang hindi ko ito sinusubukan sa mga USB sa aking computer, gumagana ito tulad ng, halimbawa, bumblebee at pcspkr.

    1.    OtakuLogan dijo

      At sa palagay ko ang Arch ay gumagamit ng parehong pamamaraan, tama? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .

  3.   rudamacho dijo

    Sa palagay ko ang isang mas mahusay na pagpipilian sa pamamagitan ng pagbabago ng mga pahintulot ay upang lumikha ng isang tukoy na pangkat para sa / media, halimbawa "pendrive", italaga ang pangkat na iyon sa / media at bigyan ang mga pahintulot na 770, upang makontrol namin kung sino ang makakagamit kung ano ang naka-mount sa / media sa pamamagitan ng pagdaragdag ng gumagamit sa pangkat «pendrive», sana naintindihan mo 🙂

  4.   izkalotl dijo

    Kumusta, KZKG ^ Gaara, para sa kasong ito maaari naming gamitin ang policykit, sa pamamagitan nito makakamtan namin iyon kapag nagsingit ng isang USB aparato hinihiling sa amin ng system na patunayan bilang gumagamit o ugat bago i-mount ito.
    Mayroon akong ilang mga tala sa kung paano ko ito nagawa, sa kurso ng Linggo ng umaga nai-post ko ito.

    Pagbati.

  5.   izkalotl dijo

    Ang pagbibigay ng pagpapatuloy sa mensahe tungkol sa paggamit ng policykit at sa pagtingin sa katotohanan na sa ngayon ay hindi ako nakapag-post (Ipagpalagay ko na dahil sa mga pagbabagong nangyari sa Desdelinux UsemosLinux) iniiwan kita tulad ng ginawa ko upang maiwasan ang mga gumagamit na mai-mount ang kanilang mga USB device. Sa ilalim ng Debian 7.6 kasama ang Gnome 3.4.2

    1.- Buksan ang file /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
    2.- Hahanapin namin ang seksyon «»
    3.- Binabago namin ang sumusunod:

    "At ito ay"

    sa pamamagitan ng:

    "Auth_admin"

    Handa na !! kakailanganin ka nitong patunayan bilang ugat kapag sinusubukang i-mount ang isang USB device.

    Mga sanggunian:
    http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
    http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
    http://lwn.net/Articles/258592/

    Pagbati.

    1.    Raidel celma dijo

      Sa hakbang 2 hindi ko maintindihan kung aling seksyon ang ibig mong sabihin na "Nagsisimula ako."

      Salamat sa tulong.

  6.   mali ang pangalang ito dijo

    Isa pang pamamaraan: idagdag ang pagpipiliang "nousb" sa linya ng utos ng kernel boot, na nagsasangkot sa pag-edit ng grub o lilo config file.

    nousb - Huwag paganahin ang USB subsystem.
    Kung ang pagpipiliang ito ay naroroon, ang USB subsystem ay hindi maisasimulan.

  7.   Raidel celma dijo

    Paano tandaan na ang root user lamang ang may mga pahintulot na i-mount ang mga USB device at ang iba pang mga gumagamit ay hindi.

    Salamat sa inyo.

    1.    KZKG ^ Gaara dijo

      Paano tandaan na ang mga distro ng labas na kahon (tulad ng ginagamit mo) ay awtomatikong i-mount ang mga USB device, alinman sa Unity, Gnome o KDE ... alinman sa paggamit ng policykit o dbus, sapagkat ito ang system na nai-mount ang mga ito, hindi ang gumagamit.

      Para wala 😉

  8.   Nagtagumpay dijo

    At kung nais kong kanselahin ang epekto ng
    sudo chmod 700 / media /

    Ano ang dapat kong ilagay sa terminal upang makuha muli ang pag-access sa USB?

    salamat

  9.   Hindi kilala dijo

    Hindi iyon gagana kung ikinonekta mo ang iyong mobile gamit ang isang USB cable.

  10.   ruyzz dijo

    sudo chmod 777 / media / upang muling paganahin.

    Pagbati.

  11.   Maurel reyes dijo

    Hindi ito magagawa. Dapat lang nilang mai-mount ang USB sa isang direktoryo na iba sa / media.

    Kung ang hindi pagpapagana ng module ng USB ay hindi gagana para sa iyo, dapat mong makita kung aling module ang ginagamit para sa iyong mga USB port. marahil ay hindi mo pinagana ang hindi tama.