Belirli kısıtlamalar gerektiren kurumlarda kullanıcılarla çalışanlar, bir güvenlik düzeyi sağlamak için veya bir fikir veya "yukarıdan" (burada dediğimiz gibi) bir emirle, çoğu zaman bilgisayarlara bazı erişim kısıtlamaları uygulamalıdır, burada ben özellikle USB depolama cihazlarına erişimi kısıtlama veya kontrol etme hakkında konuşacak.
USB'yi modprobe kullanarak kısıtlayın (benim için çalışmadı)
Bu tam olarak yeni bir uygulama değil, usb_storage modülünü yüklenen çekirdek modüllerinin kara listesine eklemekten ibarettir, şöyle olur:
echo usb_storage> $ HOME / kara liste sudo mv $ HOME / kara liste /etc/modprobe.d/
Sonra bilgisayarı yeniden başlatıyoruz ve hepsi bu.
Çekirdek sürücüsünü kaldırarak USB'yi devre dışı bırakın (benim için çalışmadı)
Başka bir seçenek de USB sürücüsünü çekirdekten kaldırmak olabilir, bunun için aşağıdaki komutu uyguluyoruz:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
Yeniden başlatıyoruz ve hazırız.
Bu, çekirdek tarafından kullanılan USB sürücülerini içeren dosyayı başka bir klasöre (/ root /) taşıyacaktır.
Bu değişikliği geri almak istiyorsanız, şunlarla yeterli olacaktır:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
/ Media / izinleri değiştirerek USB cihazlarına erişimi kısıtlama (Benim için çalıştıysa)
Şimdiye kadar kesinlikle benim için çalışan yöntem budur. Bildiğiniz gibi, USB aygıtları / media / o üzerine bağlanır… dağıtımınız systemd kullanıyorsa, / run / media /
Yapacağımız şey, / media / (veya / run / media /) için izinleri değiştirmektir, böylece YALNIZCA kök kullanıcı içeriğine erişebilir, bunun için yeterli olacaktır:
sudo chmod 700 /media/
veya ... Systemd ile Arch veya herhangi bir dağıtım kullanıyorsanız:
sudo chmod 700 /run/media/
Bu yapıldıktan sonra, bağlandıklarında USB cihazları bağlanacak, ancak kullanıcıya herhangi bir bildirim görünmeyecek veya klasöre veya herhangi bir şeye doğrudan erişemeyecekler.
Son!
İnternette açıklanan başka yollar da var, örneğin Grub kullanmak ... ama tahmin et ne oldu, benim için de işe yaramadı 🙂
Çok fazla seçenek yayınlıyorum (hepsi benim için işe yaramamış olsa da) çünkü bir tanıdığım bir Şili'de çevrimiçi mağaza teknolojisi ürünleri, o senaryoyu hatırladı casus-usb.sh bir süre önce burada açıklamıştımHatırlıyorum, USB cihazlarında casusluk yapmaya ve bunlardan bilgi çalmaya hizmet ediyor) ve yeni kamerasından bilgilerin çalınmasını engellemenin bir yolu olup olmadığını veya en azından ev bilgisayarındaki USB cihazlarını engellemenin bir yolu olup olmadığını sordu.
Her neyse, bu, kameranızı bağlayabileceğiniz tüm bilgisayarlara karşı bir koruma olmasa da, en azından ev PC'nizi hassas bilgilerin USB cihazları aracılığıyla silinmesine karşı koruyabilecektir.
Umarım faydalı olmuştur (her zamanki gibi), eğer birisi Linux'ta USB'ye erişimi reddetmek için başka bir yöntem biliyorsa ve tabii ki sorunsuz çalışırsa, bize bildirin.
Bir USB depolama biriminin takılmasını önlemenin bir başka yolu, udev'deki kuralları değiştirmek olabilir. http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, kuralı değiştirerek usb_storage aygıtlarını yalnızca root bağlayabilsin, bunun "süslü" bir yol olacağını düşünüyorum. Şerefe
Debian wiki'sinde, modülleri doğrudan /etc/modprobe.d/blacklist (.conf) dosyasında değil, .conf ile biten bağımsız bir dosyada engellememeyi söylüyorlar: https://wiki.debian.org/KernelModuleBlacklisting . Arch'da işler farklı mı bilmiyorum, ancak bilgisayarımdaki USB'lerde denemeden, örneğin bumblebee ve pcspkr ile böyle çalışıyor.
Ve bence Arch aynı yöntemi kullanıyor, değil mi? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
Bence izinleri değiştirerek daha iyi bir seçenek / media için belirli bir grup oluşturmak, örneğin "pendrive", bu grubu / media'ya atamak ve izinler 770 vermek, böylece kullanıcıyı / media üzerine monte edileni kimin kullanabileceğini kontrol edebiliriz. «pendrive» grubu, umarım anlamışsınızdır 🙂
Merhaba KZKG ^ Gaara, bu durumda ilke setini kullanabiliriz, bununla, bir USB cihazını takarken sistemin bizden bağlamadan önce kullanıcı veya kök olarak kimlik doğrulamamızı istemesini başarırız.
Bunu nasıl yaptığıma dair bazı notlarım var, Pazar sabahı postalıyorum.
Selamlar.
Politika seti kullanımıyla ilgili mesajın devamlılığını sağlamak ve şu anda yayınlayamadığımı belirtmek (sanırım Desdelinux Haydi Linux Kullanalım) Kullanıcıların USB cihazlarını takmalarını engellemek için nasıl yaptığımı size bırakıyorum. Bu, Gnome 7.6 ile Debian 3.4.2 altında
1.- /usr/share/polkit-1/actions/org.freedesktop.udisks.policy dosyasını açın
2.- «» bölümünü arıyoruz
3.- Aşağıdakileri değiştiriyoruz:
"Ve budur"
by:
"Auth_admin"
Hazır!! bu, bir USB cihazını takmaya çalışırken kök olarak kimlik doğrulamanızı gerektirecektir.
Referanslar:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
Selamlar.
2. adımda hangi bölümde "Ben acemiyim" demek istediğinizi anlamıyorum.
Yardım için teşekkürler.
Başka bir yöntem: grub veya lilo yapılandırma dosyasını düzenlemeyi içeren çekirdek önyükleme komut satırına "nousb" seçeneğini ekleyin.
nousb - USB alt sistemini devre dışı bırakın.
Bu seçenek mevcutsa, USB alt sistemi başlatılmayacaktır.
Yalnızca kök kullanıcının USB cihazlarını bağlama iznine sahip olduğu ve diğer kullanıcıların sahip olmadığı akılda tutulmalıdır.
Teşekkür ederim.
Kullanıma hazır dağıtımların (kullandığınız gibi) ilke seti veya dbus kullanarak USB aygıtlarını otomatik olarak bağladığını akılda tutmanız gerekir ... çünkü onları bağlayan sistemdir, kullanıcı değil.
Hiçbir şey için 😉
Ve eğer etkisini iptal etmek istersem
sudo chmod 700 / medya /
USB'ye yeniden erişim kazanmak için terminale ne koymalıyım?
teşekkürler
Cep telefonunuzu bir USB kablosuyla bağlarsanız bu işe yaramaz.
sudo chmod 777 / media / yeniden etkinleştirmek için.
Selamlar.
Bu mümkün değil. USB'yi yalnızca / media dışında bir dizine bağlamalılar.
USB modülünü devre dışı bırakmak işinize yaramazsa, USB portlarınız için hangi modülün kullanıldığını görmelisiniz. belki yanlış olanı devre dışı bırakıyorsun.
Kesinlikle en kolay yol, bir süredir arıyorum ve burnumun dibindeki aklıma gelmiyordu. Çok teşekkür ederim
Kesinlikle en kolay yol. Bir süredir bir tane arıyordum ve burnumun dibinde olanı düşünemedim. Çok teşekkür ederim